L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de Apache Commons HttpClient : Man-in-the-Middle

Synthèse de la vulnérabilité 

Un attaquant peut se positionner en Man-in-the-Middle sur Apache Commons HttpClient, afin de lire ou modifier des données de la session.
Logiciels vulnérables : Fedora, HPE NNMi, WebSphere AS Traditional, RHEL, JBoss EAP par Red Hat, Ubuntu.
Gravité de cette annonce : 2/4.
Date de création : 14/10/2015.
Références de cette vulnérabilité informatique : 7036319, c05103564, CVE-2012-6153, FEDORA-2014-9539, FEDORA-2014-9581, HPSBMU03584, MDVSA-2014:170, RHSA-2014:1082-01, RHSA-2014:1098-01, RHSA-2014:1162-01, RHSA-2014:1163-01, RHSA-2014:1320-01, RHSA-2014:1321-01, RHSA-2014:1322-01, RHSA-2014:1323-01, RHSA-2014:1833-01, RHSA-2014:1834-01, RHSA-2014:1835-01, RHSA-2014:1836-01, RHSA-2014:1891-01, RHSA-2014:1892-01, RHSA-2014:1904-01, RHSA-2014:2019-01, RHSA-2014:2020-01, RHSA-2015:0125-01, RHSA-2015:0158-01, RHSA-2015:0234-01, RHSA-2015:0235-01, RHSA-2015:0675-01, RHSA-2015:0720-01, RHSA-2015:0765-01, RHSA-2015:0850-01, RHSA-2015:0851-01, RHSA-2015:1009, USN-2769-1, VIGILANCE-VUL-18097.

Description de la vulnérabilité 

Un attaquant peut se positionner en Man-in-the-Middle sur Apache Commons HttpClient, afin de lire ou modifier des données de la session.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cet avis de faille concerne les logiciels ou systèmes comme Fedora, HPE NNMi, WebSphere AS Traditional, RHEL, JBoss EAP par Red Hat, Ubuntu.

Notre équipe Vigil@nce a déterminé que la gravité de cette annonce de menace informatique est moyen.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de serveur internet.

Un attaquant avec un niveau de compétence expert peut exploiter cette alerte de faille informatique.

Solutions pour cette menace 

Fedora : nouveaux paquetages jakarta-commons-httpclient.
De nouveaux paquetages sont disponibles :
  Fedora 19 : jakarta-commons-httpclient 3.1-15.fc19
  Fedora 20 : jakarta-commons-httpclient 3.1-15.fc20

HP NNMi : patch.
Un patch est indiqué dans les sources d'information.

Mandriva : nouveaux paquetages jakarta-commons-httpclient.
De nouveaux paquetages sont disponibles :
  Mandriva BS1 : jakarta-commons-httpclient 3.1-8.1.mbs1

Red Hat Developer Toolset : nouveaux paquetages devtoolset-2-httpcomponents-client.
De nouveaux paquetages sont disponibles :
  RHEL 6 : devtoolset-2-httpcomponents-client 4.2.1-6.el6

Red Hat JBoss BPM/BRMS : version 6.1.0.
La version 6.1.0 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=bpm.suite&downloadType=distributions&version=6.1.0
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=brms&downloadType=distributions&version=6.1.0

Red Hat JBoss BPM Suite : version 6.0.3 roll up patch 2.
La version 6.0.3 roll up patch 2 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=bpm.suite&downloadType=distributions&version=6.0.3

Red Hat JBoss BRMS/BPM Suite : version 6.0.3 roll up patch 1.
La version 6.0.3 roll up patch 1 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=bpm.suite&downloadType=distributions&version=6.0.3
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=brms&downloadType=distributions&version=6.0.3

Red Hat JBoss BRMS : version 6.0.3 roll up patch 2.
La version 6.0.3 roll up patch 2 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=brms&downloadType=distributions&version=6.0.3

Red Hat JBoss Data Virtualization : version 6.0.0 2015 roll up patch 1.
La version 6.0.0 2015 roll up patch 1 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=data.services.platform&downloadType=securityPatches&version=6.0.0

Red Hat JBoss Data Virtualization : version 6.1.0.
La version 6.1.0 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=data.services.platform&downloadType=distributions&version=6.1.0

Red Hat JBoss EAP : nouveaux paquetages apache.
De nouveaux paquetages sont disponibles :
  RHEL 5 : apache-cxf 2.7.12-1.SP1_redhat_5.1.ep6.el5, wss4j 1.6.16-2.redhat_3.1.ep6.el5
  RHEL 6 : apache-cxf 2.7.12-1.SP1_redhat_5.1.ep6.el6, wss4j 1.6.16-2.redhat_3.1.ep6.el6
  RHEL 7 : apache-cxf 2.7.12-1.SP1_redhat_5.1.ep6.el7, wss4j 1.6.16-2.redhat_3.1.ep6.el7

Red Hat JBoss EAP : patch pour Apache.
Un patch est disponible :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=appplatform&downloadType=securityPatches&version=6.3

Red Hat JBoss Enterprise Web Platform : solution pour HttpComponents.
La solution est indiquée dans les sources d'information.

Red Hat JBoss Fuse Service Works : version 6.0.0 roll up patch 4.
La version 6.0.0 roll up patch 4 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=jboss.fuse.serviceworks&downloadType=securityPatches&version=6.0.0

Red Hat JBoss : nouveaux paquetages httpcomponents-eap6-6-12.redhat.
De nouveaux paquetages sont disponibles :
  RHEL 5 : httpcomponents-eap6-6-12.redhat 2.1.ep6.el5
  RHEL 6 : httpcomponents-eap6-6-12.redhat 2.1.ep6.el6
  RHEL 7 : httpcomponents-eap6-6-12.redhat 2.1.ep6.el7

Red Hat JBoss Operations Network : version 3.2.3.
La version 3.2.3 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=em&downloadType=securityPatches&version=3.3.0

Red Hat JBoss : patch pour HttpComponents.
Un patch est disponible :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=appplatform&downloadType=securityPatches&version=6.3

Red Hat JBoss Portal : version 6.2.0.
La version 6.2.0 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=jbportal&downloadType=distributions

Red Hat JBoss : solution pour Apache CXF.
La solution est indiquée dans les sources d'information.

Red Hat JBoss Web Framework Kit : version 2.7.0.
La version 2.7.0 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=web.framework.kit&downloadType=distributions

Red Hat Software Collections : nouveaux paquetages thermostat1-httpcomponents-client.
De nouveaux paquetages sont disponibles :
  RHEL 6 : thermostat1-httpcomponents-client 4.2.5-3.4.el6.1

RHEL 6 RHEV-M : nouveaux paquetages rhevm.
De nouveaux paquetages sont disponibles :
  RHEL 6 : rhevm 3.5.0-0.29.el6ev

Ubuntu : nouveaux paquetages libcommons-httpclient-java.
De nouveaux paquetages sont disponibles :
  Ubuntu 15.04 : libcommons-httpclient-java 3.1-10.2ubuntu0.15.04.1
  Ubuntu 14.04 LTS : libcommons-httpclient-java 3.1-10.2ubuntu0.14.04.1
  Ubuntu 12.04 LTS : libcommons-httpclient-java 3.1-10ubuntu0.1

WebSphere AS : version 8.5.5.9.
La version 8.5.5.9 est corrigée :
  http://www.ibm.com/support/docview.wss?uid=swg24041819
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit des alertes de sécurité informatique. La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles.