L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de Java JRE : déni de service via un réel

Synthèse de la vulnérabilité 

Un attaquant peut employer un nombre réel double spécial, afin de provoquer une boucle infinie dans les programmes Java.
Logiciels vulnérables : Debian, Fedora, HPE BAC, HPE NNMi, OpenView, OpenView NNM, Tru64 UNIX, HP-UX, AIX, Db2 UDB, Tivoli Directory Server, Tivoli Storage Manager, Tivoli System Automation, Tivoli Workload Scheduler, WebSphere AS Traditional, WebSphere MQ, JBoss AS OpenSource, Mandriva Linux, NLD, OES, Java OpenJDK, openSUSE, Oracle iPlanet Web Server, Java Oracle, Oracle Web Tier, RHEL, JBoss EAP par Red Hat, SLES.
Gravité de cette annonce : 3/4.
Date de création : 02/02/2011.
Références de cette vulnérabilité informatique : 1468291, BID-46091, c02729756, c02738573, c02746026, c02752210, c02775276, c02826781, c02906075, c03090723, c03316985, CERTA-2002-AVI-271, CERTA-2012-AVI-286, cpuapr2011, CVE-2010-4476, DSA-2161-1, DSA-2161-2, FEDORA-2011-1231, FEDORA-2011-1263, HPSBMU02690, HPSBTU02684, HPSBUX02633, HPSBUX02641, HPSBUX02642, HPSBUX02645, HPSBUX02685, HPSBUX02725, HPSBUX02777, IZ94331, javacpufeb2011, MDVSA-2011:054, openSUSE-SU-2011:0126-1, PM32175, PM32177, PM32184, PM32192, PM32194, RHSA-2011:0210-01, RHSA-2011:0211-01, RHSA-2011:0212-01, RHSA-2011:0213-01, RHSA-2011:0214-01, RHSA-2011:0282-01, RHSA-2011:0290-01, RHSA-2011:0291-01, RHSA-2011:0292-01, RHSA-2011:0299-01, RHSA-2011:0333-01, RHSA-2011:0334-01, RHSA-2011:0336-01, RHSA-2011:0348-01, RHSA-2011:0349-01, RHSA-2011:0880-01, SSRT100387, SSRT100390, SSRT100412, SSRT100415, SSRT100505, SSRT100569, SSRT100627, SSRT100854, SUSE-SA:2011:010, SUSE-SA:2011:014, SUSE-SR:2011:008, SUSE-SU-2011:0823-1, swg21469266, swg24030066, swg24030067, VIGILANCE-VUL-10321.

Description de la vulnérabilité 

Le nombre 2.2250738585072011e-308 est le "plus grand nombre double subnormal", c'est-à-dire 0x0fffffffffffff x 2^-1022 en base 2.

Sur un processeur x86, Java JRE utilise les registres FPU x87 (80 bit), pour trouver bit-après-bit la valeur réelle la plus proche. Cette boucle s'arrête lorsque le reste est inférieur à la précision. Cependant, avec le nombre 2.225..., cette condition d'arrêt n'est jamais vraie (80 bits arrondis en 64 bits), et une boucle infinie se produit.

Un attaquant peut donc employer un nombre réel double spécial, afin de provoquer une boucle infinie dans les programmes Java.

L'origine de cette vulnérabilité est la même que VIGILANCE-VUL-10257.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette annonce de vulnérabilité concerne les logiciels ou systèmes comme Debian, Fedora, HPE BAC, HPE NNMi, OpenView, OpenView NNM, Tru64 UNIX, HP-UX, AIX, Db2 UDB, Tivoli Directory Server, Tivoli Storage Manager, Tivoli System Automation, Tivoli Workload Scheduler, WebSphere AS Traditional, WebSphere MQ, JBoss AS OpenSource, Mandriva Linux, NLD, OES, Java OpenJDK, openSUSE, Oracle iPlanet Web Server, Java Oracle, Oracle Web Tier, RHEL, JBoss EAP par Red Hat, SLES.

Notre équipe Vigil@nce a déterminé que la gravité de cette annonce de faille est important.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de document.

Un démonstrateur ou un outil d'attaque est disponible, donc vos équipes doivent traiter cette alerte. Un attaquant avec un niveau de compétence débutant peut exploiter cette annonce de faille informatique.

Solutions pour cette menace 

Java JDK/JRE : version 6 Update 24.
La version 6 Update 24 est corrigée :
  http://www.oracle.com/technetwork/java/javase/downloads/index.html

Java JDK/JRE : version 5.0 Update 28 Business.
La version 5.0 Update 28 Business est corrigée :
  https://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=1231283.1
  http://www.oracle.com/us/technologies/java/java-for-business-071123.html

Java SDK/JRE : version 1.4.2_30 Business.
La version 1.4.2_30 Business est corrigée :
  https://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=1231283.1
  http://www.oracle.com/us/technologies/java/java-for-business-071123.html

Java JRE : patch pour réel.
Un patch est disponible :
  https://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=1291950.1
Java SE Floating Point Updater Tool :
  http://www.oracle.com/technetwork/java/javase/downloads/index.html#fpupdater

NNMi : patch pour JDK.
Un patch est disponible :
  NNMi 9.0x JDK b : QCCR1B87492
  NNMi 9.0x JDK nnm : QCCR1B87433
  NNMi 8.1x JDK b : QCCR1B87492
  NNMi 8.1x JDK nnm,nms QCCR1B87491

Oracle iPlanet Web Server : CPU d'avril 2011.
Un Critical Patch Update est disponible :
  http://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=1308128.1

AIX : patch pour Java.
Un patch est disponible :
  http://www.ibm.com/developerworks/java/jdk/alerts/cve-2010-4476.html

Debian : nouveaux paquetages openjdk-6.
De nouveaux paquetages sont disponibles :
  openjdk-6 6b18-1.8.3-2~lenny1
  openjdk-6 6b18-1.8.3-2+squeeze1

Fedora : nouveaux paquetages java-1.6.0-openjdk.
De nouveaux paquetages sont disponibles :
  java-1.6.0-openjdk-1.6.0.0-50.1.8.6.fc13
  java-1.6.0-openjdk-1.6.0.0-52.1.9.6.fc14

HP Business Availability Center : patch pour Java.
Un patch est disponible :
  BAC v7.55 Solaris : BAC_00732
  BAC v7.55 Windows : BAC_00731
http://support.openview.hp.com/selfsolve/patches

HP OpenView NNM : solution pour Java.
Une contre-mesure consiste à utiliser FPUpdater :
  https://www.hp.com/go/java

HP Tru64 UNIX : contre-mesure pour Java floating point.
Une contre-mesure consiste à utiliser FPUpdater (Floating Point Updater) :
  http://h18012.www1.hp.com/java/alpha/fpupdater_index.html

HP-UX : Java version 1.4.2.28.
Java version 1.4.2.28 est corrigée :
  http://www.hp.com/go/java

HP-UX : Java versions 1.5.0.22.00 et 1.6.0.10.00.
Les versions 1.5.0.22.00 et 1.6.0.10.00 sont corrigées :
  http://www.hp.com/go/java

HP-UX : mise à jour pour Java.
Il faut utiliser FPUpdater :
  https://www.hp.com/go/java

HP-UX : Tomcat version 5.5.34.01.
La version Tomcat 5.5.34.01 est corrigée (http://software.hp.com/) :
  HP-UX B.11.23 HPUXWS22ATW-B320-64.depot
  HP-UX B.11.23 HPUXWS22ATW-B320-32.depot
  HP-UX B.11.31 HPUXWS22ATW-B320-64.depot
  HP-UX B.11.31 HPUXWS22ATW-B320-32.depot

HP-UX : version corrigée de Apache Web Server.
La version suivante est corrigée :
HP-UX Web Server Suite v.3.15 (Apache v2.2.15.05 + Tomcat-based Servlet Engine v5.5.30.04) :
  B.11.23 (32-bit) HPUXWS22ATW-B315-32
  B.11.23 (64-bit) HPUXWS22ATW-B315-64
  B.11.31 (32-bit) HPUXWS22ATW-B315-32
  B.11.31 (64-bit) HPUXWS22ATW-B315-64
HP-UX Web Server Suite v.2.33 (Apache v2.0.64.01 + Tomcat-based Servlet Engine v5.5.30.04) :
  B.11.11 HPUXWSATW-B233-1111
  B.11.23 (32-bit) HPUXWSATW-B233-1123-32-bit
  B.11.23 (64-bit) HPUXWSATW-B233-1123-64-bit
  B.11.31 (32-bit) HPUXWSATW-B233-1131-32-bit
  B.11.31 (64-bit) HPUXWSATW-B233-1131-64-bit
http://software.hp.com/

IBM DB2 : version de JDK.
La version suivante est corrigée :
  DB2 9.1 : JDK 5 SR12-FP2
  DB2 9.5 : JDK 5 SR12-FP2
  DB2 9.7 : JDK 6 SR9

IBM Tivoli Directory Server : version 6.1.0-TIV-ITDS-FP0006.
La version 6.1.0-TIV-ITDS-FP0006 est corrigée :
  http://www-01.ibm.com/support/docview.wss?uid=swg24030208&myns=swgtiv&mynp=OCSSVJJU&mync=R&wv=1

IBM Tivoli Directory Server : version 6.2.0.3-TIV-ITDS-IF0003.
La version 6.2.0.3-TIV-ITDS-IF0003 est corrigée :
  http://www-01.ibm.com/support/docview.wss?uid=swg24030067&myns=swgtiv&mynp=OCSSVJJU&mync=R

IBM Tivoli Directory Server : version 6.3.0.0-TIV-ITDS-IF0004.
La version 6.3.0.0-TIV-ITDS-IF0004 est corrigée :
  http://www-01.ibm.com/support/docview.wss?uid=swg24030066&myns=swgtiv&mynp=OCSSVJJU&mync=R

IBM Tivoli Storage Manager : solution pour Java.
Une solution est disponible :
Tivoli Storage Manager :
  http://www-01.ibm.com/support/docview.wss?uid=swg21469266
Tivoli Storage Manager Extended Edition :
  http://www-01.ibm.com/support/docview.wss?uid=swg21469266
Tivoli Storage Manager FastBack :
  http://www-01.ibm.com/support/docview.wss?uid=swg21469209
Tivoli Storage Manager FastBack for Workstations :
  http://www-01.ibm.com/support/docview.wss?uid=swg21468271
Tivoli Storage Manager for Space Management :
  http://www-01.ibm.com/support/docview.wss?uid=swg21469266
Tivoli Storage Manager for Storage Area Networks :
  http://www-01.ibm.com/support/docview.wss?uid=swg21469266

IBM Tivoli System Automation : solution pour Java.
Une solution est disponible :
Tivoli System Automation Application Manager :
  http://www-01.ibm.com/support/docview.wss?uid=swg21468860
Tivoli System Automation for Integrated Operations Management :
  http://www-01.ibm.com/support/docview.wss?uid=swg21468861
Tivoli System Automation for Multiplatforms :
  http://www-01.ibm.com/support/docview.wss?uid=swg21468856
Tivoli System Automation for z/OS :
  http://www-01.ibm.com/support/docview.wss?uid=swg21468862

IBM Tivoli Workload Scheduler : solution pour Java.
Une solution est disponible :
Tivoli Workload Scheduler :
  http://www-01.ibm.com/support/docview.wss?uid=swg21468704
Tivoli Workload Scheduler for Applications :
  http://www-01.ibm.com/support/docview.wss?uid=swg21468709
Tivoli Workload Scheduler for z/OS :
  http://www-01.ibm.com/support/docview.wss?uid=swg21468747

IBM WebSphere MQ : solution pour Java.
Une solution est disponible :
  http://www-01.ibm.com/support/docview.wss?uid=swg21468521

JBoss Enterprise Web Server : nouveaux paquetages tomcat5.
De nouveaux paquetages sont disponibles :
JBoss Enterprise Web Server 1.0 for RHEL 4 :
  tomcat5-5.5.28-18_patch_03.ep5.el4
JBoss Enterprise Web Server 1.0 for RHEL 5 :
  tomcat5-5.5.28-12_patch_03.ep5.el5

JBoss Enterprise Web Server : nouveaux paquetages tomcat6.
De nouveaux paquetages sont disponibles :
JBoss Enterprise Web Server 1.0 for RHEL 4 :
  tomcat6-6.0.24-11.patch_03.ep5.el4
JBoss Enterprise Web Server 1.0 for RHEL 5 :
  tomcat6-6.0.24-11.patch_03.ep5.el5

JBoss : patch pour Java.
Un patch est disponible dans les sources d'information.

Mandriva : nouveaux paquetages java-1.6.0-openjdk.
De nouveaux paquetages sont disponibles :
Mandriva Linux 2009.0:
  java-1.5.0-gcj-1.5.0.0-17.1.7.1mdv2009.0
  java-1.6.0-openjdk-1.6.0.0-7.b18.5mdv2009.0
Mandriva Linux 2010.0:
  java-1.6.0-openjdk-1.6.0.0-7.b18.5mdv2010.0
Mandriva Linux 2010.1:
  java-1.6.0-openjdk-1.6.0.0-7.b18.5mdv2010.2
Mandriva Enterprise Server 5:
  java-1.5.0-gcj-1.5.0.0-17.1.7.1mdv2009.0
  java-1.6.0-openjdk-1.6.0.0-7.b18.5mdvmes5.2

Red Hat Network Satellite : nouveaux paquetages java-1.6.0-ibm.
De nouveaux paquetages sont disponibles :
  java-1.6.0-ibm-1.6.0.9.1-1jpp.1.el5

RHEL 4E, 5S, 6S : nouveaux paquetages java-ibm.
De nouveaux paquetages sont disponibles :
Red Hat Enterprise Linux version 4 Extras:
  java-1.4.2-ibm-1.4.2.13.8-1jpp.4.el4
  java-1.5.0-ibm-1.5.0.12.3-1jpp.2.el4
  java-1.6.0-ibm-1.6.0.9.0-1jpp.4.el4
RHEL 4 AS for SAP:
  java-1.4.2-ibm-sap-1.4.2.13.8.sap-1jpp.2.el4_8
Red Hat Enterprise Linux version 5 Supplementary:
  java-1.4.2-ibm-1.4.2.13.8-1jpp.3.el5
  java-1.5.0-ibm-1.5.0.12.3-1jpp.2.el5
  java-1.6.0-ibm-1.6.0.9.0-1jpp.4.el5
RHEL 5 Server for SAP:
  java-1.4.2-ibm-sap-1.4.2.13.8.sap-1jpp.2.el5
Red Hat Enterprise Linux version 6 Supplementary:
  java-1.5.0-ibm-1.5.0.12.3-1jpp.3.el6
  java-1.6.0-ibm-1.6.0.9.0-1jpp.5.el6
Red Hat Enterprise Linux SAP (v. 6):
  java-1.4.2-ibm-sap-1.4.2.13.8.sap-1jpp.1.el6

RHEL 5, 6 : nouveaux paquetages java-1.6.0-openjdk.
De nouveaux paquetages sont disponibles :
Red Hat Enterprise Linux 5 :
  java-1.6.0-openjdk-1.6.0.0-1.18.b17.el5
Red Hat Enterprise Linux 6 :
  java-1.6.0-openjdk-1.6.0.0-1.36.b17.el6_0

RHEL 5 : nouveaux paquetages tomcat5.
De nouveaux paquetages sont disponibles :
  tomcat5-*-5.5.23-0jpp.17.el5_6

RHEL : nouveaux paquetages java-1.6.0-sun.
De nouveaux paquetages sont disponibles :
Red Hat Enterprise Linux version 4 Extras:
  java-1.6.0-sun-1.6.0.24-1jpp.1.el4
Red Hat Enterprise Linux version 5 Supplementary:
  java-1.6.0-sun-1.6.0.24-1jpp.1.el5
Red Hat Enterprise Linux version 6 Supplementary:
  java-1.6.0-sun-1.6.0.24-1jpp.1.el6

SUSE LE Java : nouveaux paquetages java-1_4_2-ibm-sap.
De nouveaux paquetages sont disponibles, comme indiqué dans les sources d'informations.

SUSE LE : nouveaux paquetages java-1_6_0-ibm, java-1_5_0-ibm, java-1_4_2-ibm.
De nouveaux paquetages sont disponibles, comme indiqué dans les sources d'informations.

SUSE : nouveaux paquetages java-1_6_0-sun.
De nouveaux paquetages sont disponibles :
  openSUSE 11.2 : java-1_6_0-sun-1.6.0.u24-0.2.1
  openSUSE 11.3 : java-1_6_0-sun-1.6.0.u24-0.2.1
  SUSE Linux Enterprise Desktop 10 SP3 :
    http://download.novell.com/patch/finder/?keywords=8e9755f37706d7c7daa876e587e1bc55
  SUSE Linux Enterprise Desktop 11 SP1 :
    http://download.novell.com/patch/finder/?keywords=ec492a6f1adf3dd8d9f18616b737bdf6

SUSE : nouveaux paquetages libtiff (03/05/2011).
De nouveaux paquetages sont disponibles, comme indiqué dans les sources d'informations.

WebSphere AS : patch pour SDK.
Un patch est disponible dans les sources d'information.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit une alerte de vulnérabilités informatiques. La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles.