L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de Apache WSS4J : deux vulnérabilités

Synthèse de la vulnérabilité 

Un attaquant peut employer plusieurs vulnérabilités de Apache WSS4J.
Logiciels impactés : WSS4J, WebSphere AS Traditional, RHEL, JBoss EAP par Red Hat.
Gravité de cette vulnérabilité informatique : 2/4.
Nombre de vulnérabilités dans ce bulletin : 2.
Date de création : 10/02/2015.
Références de cette annonce : 1959083, CVE-2015-0226, CVE-2015-0227, RHSA-2015:0773-01, RHSA-2015:0846-01, RHSA-2015:0847-01, RHSA-2015:0848-01, RHSA-2015:0849-01, RHSA-2015:1176-01, RHSA-2015:1177-01, VIGILANCE-VUL-16144.

Description de la vulnérabilité 

Plusieurs vulnérabilités ont été annoncées dans Apache WSS4J.

Un attaquant peut analyser les erreurs de déchiffrement de XML Encryption avec PKCS#1 v1.5 Key Transport Algorithm, afin de mener une attaque de type Bleichenbacher. [grav:2/4; CVE-2015-0226]

Un attaquant peut contourner la directive requireSignedEncryptedDataElements, afin d'ignorer la signature. [grav:2/4; CVE-2015-0227]
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette annonce cyber-sécurité concerne les logiciels ou systèmes comme WSS4J, WebSphere AS Traditional, RHEL, JBoss EAP par Red Hat.

Notre équipe Vigil@nce a déterminé que la gravité de ce bulletin de faille est moyen.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de document.

Ce bulletin concerne 2 vulnérabilités.

Un attaquant avec un niveau de compétence expert peut exploiter cette annonce de vulnérabilité.

Solutions pour cette menace 

Apache WSS4J : version 2.0.2.
La version 2.0.2 est corrigée :
  http://archive.apache.org/dist/ws/wss4j/

Apache WSS4J : version 1.6.17.
La version 1.6.17 est corrigée :
  http://archive.apache.org/dist/ws/wss4j/

Red Hat JBoss A-MQ : version 6.2.0.
La version 6.2.0 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=jboss.amq&downloadType=distributions&version=6.2.0

Red Hat JBoss Data Grid : version 6.4.1.
La version 6.4.1 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?downloadType=distributions&product=data.grid&version=6.4.1

Red Hat JBoss Enterprise Application Platform : version 6.4.0.
La version 6.4.0 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?downloadType=distributions&product=appplatform&version=6.4

Red Hat JBoss Fuse : version 6.2.0.
La version 6.2.0 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=jboss.fuse&downloadType=distributions&version=6.2.0

WebSphere AS : version 8.5.5.6.
La version 8.5.5.6 est corrigée.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit une analyse de vulnérabilités applicatives. Chaque administrateur peut personnaliser la liste des produits pour lesquels il souhaite recevoir des alertes de vulnérabilités.