L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de Apache Xerces2 Java, Java JRE/JDK, OpenJDK : corruption de mémoire via XML

Synthèse de la vulnérabilité 

Un attaquant peut créer des données XML contenant un octet illicite qui corrompt la mémoire, afin de mener un déni de service ou d'exécuter du code dans Apache Xerces2 Java, Java JRE/JDK ou OpenJDK.
Produits impactés : Xerces Java, Debian, HP-UX, Mandriva Linux, Java OpenJDK, openSUSE, Oracle GlassFish Server, Java Oracle, RHEL, JBoss EAP par Red Hat, Slackware, Sun AS, SLES.
Gravité de ce bulletin : 3/4.
Date de création : 10/08/2009.
Date de révision : 09/12/2009.
Références de cette menace : 272209, 6870754, BID-35958, CVE-2009-2625, DSA-1984-1, FICORA #245608, HPSBUX02476, MDVSA-2011:108, RHSA-2009:1199-01, RHSA-2009:1200-01, RHSA-2009:1201-01, RHSA-2009:1505-01, RHSA-2009:1582-01, RHSA-2009:1615-01, RHSA-2011:0858-01, RHSA-2012:0725-01, RHSA-2012:1232-01, RHSA-2012:1537-01, RHSA-2013:0763-01, SSA:2011-041-02, SSRT090250, SUSE-SR:2009:014, SUSE-SR:2009:016, SUSE-SR:2009:017, SUSE-SR:2010:011, SUSE-SR:2010:013, SUSE-SR:2010:014, SUSE-SR:2010:015, VIGILANCE-VUL-8925.

Description de la vulnérabilité 

Les produits Apache Xerces2 Java, Java JRE/JDK et OpenJDK manipulent des données XML. Ils partagent la même vulnérabilité.

Un attaquant peut créer des données XML contenant un octet illicite qui corrompt la mémoire, afin de mener un déni de service ou d'exécuter du code dans ces produits.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette alerte de menace concerne les logiciels ou systèmes comme Xerces Java, Debian, HP-UX, Mandriva Linux, Java OpenJDK, openSUSE, Oracle GlassFish Server, Java Oracle, RHEL, JBoss EAP par Red Hat, Slackware, Sun AS, SLES.

Notre équipe Vigil@nce a déterminé que la gravité de cette vulnérabilité cybersécurité est important.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de document.

Un attaquant avec un niveau de compétence expert peut exploiter cette faille cybersécurité.

Solutions pour cette menace 

Java JRE/JDK : version 6 Update 15.
La version 6 Update 15 est corrigée :
  http://java.sun.com/javase/downloads/index.jsp
  http://java.com/
Sous Windows, l'outil Java Update peut être utilisé pour faire la mise à jour.
Il faut désinstaller les anciennes versions.
Patches pour Solaris :
  Java SE 6: patch 125136-16
  Java SE 6 64bit: patch 125137-16
  Java SE 6_x86: patch 125138-16
  Java SE 6_x86 64bit: patch 125139-16

Java JRE/JDK : version 5.0 Update 20.
La version 5.0 Update 20 est corrigée :
  http://java.sun.com/javase/downloads/index_jdk5.jsp
Il faut désinstaller les anciennes versions.

Debian : nouveaux paquetages libxerces2-java.
De nouveaux paquetages sont disponibles :
  http://security.debian.org/pool/updates/main/libx/libxerces2-java/libxerces2-java_2.8.1-1+etch1_*.deb
  http://security.debian.org/pool/updates/main/libx/libxerces2-java/libxerces2-java_2.9.1-2+lenny1_*.deb

HP-UX : patch pour JDK, SDK et JRE.
Un patch est disponible :
  JDK and JRE v6.0.05
  JDK and JRE v5.0.17
  SDK and JRE v1.4.2.23

JBoss Enterprise Portal Platform : version 5.2.2.
La version 5.2.2 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=jbportal&downloadType=distributions

JBoss Operations Network : version 3.1.0.
La version 3.1.0 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?downloadType=distributions&product=em&version=3.1.0

JBoss Web Framework Kit : version 2.2.0.
La version 2.2.0 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=web.framework.kit&downloadType=distributions

Mandriva : nouveaux paquetages xerces-j2.
De nouveaux paquetages sont disponibles :
  xerces-j2-2.9.0-9.1mdv2009.0
  xerces-j2-2.9.0-12.1mdv2010.2
  xerces-j2-2.9.0-9.1mdvmes5.2

RHEL 4E, 5S : nouveaux paquetages java-1.5.0-sun.
De nouveaux paquetages sont disponibles :
Red Hat Enterprise Linux version 4 Extras:
  java-1.5.0-sun-1.5.0.20-1jpp.1.el4
Red Hat Enterprise Linux version 5 Supplementary:
  java-1.5.0-sun-1.5.0.20-1jpp.1.el5

RHEL 4E, 5S : nouveaux paquetages java-1.6.0-ibm.
De nouveaux paquetages sont disponibles :
Red Hat Enterprise Linux version 4 Extras:
   java-1.6.0-ibm-1.6.0.6-1jpp.3.el4
Red Hat Enterprise Linux version 5 Supplementary:
  java-1.6.0-ibm-1.6.0.6-1jpp.3.el5

RHEL 4E, 5S : nouveaux paquetages java-1.6.0-sun.
De nouveaux paquetages sont disponibles :
Red Hat Enterprise Linux version 4 Extras:
  java-1.6.0-sun-1.6.0.15-1jpp.1.el4
Red Hat Enterprise Linux version 5 Supplementary:
  java-1.6.0-sun-1.6.0.15-1jpp.1.el5

RHEL 5 : nouveaux paquetages java-1.6.0-openjdk.
De nouveaux paquetages sont disponibles :
Red Hat Enterprise Linux version 5:
  java-1.6.0-openjdk-1.6.0.0-1.2.b09.el5

RHEL 5 : nouveaux paquetages xerces-j2.
De nouveaux paquetages sont disponibles :
  xerces-j2-2.7.1-7jpp.2.el5_4.2

RHEL 6.0 : nouveaux paquetages xerces-j2.
De nouveaux paquetages sont disponibles :
  xerces-j2-2.7.1-12.6.el6_0

RHEL 6 : nouveaux paquetages jasperreports-server-pro.
De nouveaux paquetages sont disponibles :
  jasperreports-server-pro-4.7.1-2

RHEL : nouveaux paquetages java.
De nouveaux paquetages sont disponibles :
Red Hat Enterprise Linux AS 3 Extras, Desktop 3 Extras, ES 3 Extras, WS 3 Extras:
  java-1.4.2-ibm-1.4.2.13.1-1jpp.1.el3.*.rpm
Red Hat Enterprise Linux AS 4 Extras, Desktop 4 Extras, ES 4 Extras, WS 4 Extras:
  java-1.4.2-ibm-1.4.2.13.1-1jpp.1.el4.*.rpm
Red Hat Enterprise Linux Supplementary 5, Desktop Supplementary 5:
  java-1.4.2-ibm-1.4.2.13.1-1jpp.1.el5.*.rpm

Slackware : nouveaux paquetages expat.
De nouveaux paquetages sont disponibles :
ftp://ftp.slackware.com/pub/slackware/slackware-11.0/patches/packages/expat-1.95.8-i486-2_slack11.0.tgz
ftp://ftp.slackware.com/pub/slackware/slackware-12.0/patches/packages/expat-2.0.1-i486-2_slack12.0.tgz
ftp://ftp.slackware.com/pub/slackware/slackware-12.1/patches/packages/expat-2.0.1-i486-2_slack12.1.tgz
ftp://ftp.slackware.com/pub/slackware/slackware-12.2/patches/packages/expat-2.0.1-i486-2_slack12.2.tgz
ftp://ftp.slackware.com/pub/slackware/slackware-13.0/patches/packages/expat-2.0.1-i486-2_slack13.0.txz
ftp://ftp.slackware.com/pub/slackware/slackware64-13.0/patches/packages/expat-2.0.1-x86_64-2_slack13.0.txz
ftp://ftp.slackware.com/pub/slackware/slackware-13.1/patches/packages/expat-2.0.1-i486-2_slack13.1.txz
ftp://ftp.slackware.com/pub/slackware/slackware64-13.1/patches/packages/expat-2.0.1-x86_64-2_slack13.1.txz

Sun GlassFish, Java AS : patch pour XML.
Un patch est disponible dans les sources d'information.

SUSE : nouveaux paquetages (01/09/2009).
De nouveaux paquetages sont disponibles.

SUSE : nouveaux paquetages (02/08/2010).
De nouveaux paquetages sont disponibles, comme indiqué dans les sources d'informations.

SUSE : nouveaux paquetages (10/05/2010).
De nouveaux paquetages sont disponibles, comme indiqué dans les sources d'informations.

SUSE : nouveaux paquetages (13/10/2009).
De nouveaux paquetages sont disponibles.

SUSE : nouveaux paquetages (14/06/2010).
De nouveaux paquetages sont disponibles, comme indiqué dans les sources d'informations.

SUSE : nouveaux paquetages (18/08/2010).
De nouveaux paquetages sont disponibles, comme indiqué dans les sources d'informations.

SUSE : nouveaux paquetages (26/10/2009).
De nouveaux paquetages sont disponibles, comme indiqué dans les sources d'informations.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit une alerte de vulnérabilité de système. La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles.