L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de Oracle Fusion Middleware : vulnérabilités de juillet 2016

Synthèse de la vulnérabilité 

Un attaquant peut employer plusieurs vulnérabilités de Oracle Fusion Middleware.
Logiciels impactés : WebSphere AS Traditional, Oracle Directory Server, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Portal, Oracle TopLink, WebLogic.
Gravité de cette vulnérabilité informatique : 3/4.
Nombre de vulnérabilités dans ce bulletin : 22.
Date de création : 20/07/2016.
Références de cette annonce : 7014463, cpujul2016, CVE-2015-3237, CVE-2015-7182, CVE-2016-1181, CVE-2016-1548, CVE-2016-2107, CVE-2016-3432, CVE-2016-3433, CVE-2016-3445, CVE-2016-3446, CVE-2016-3474, CVE-2016-3482, CVE-2016-3487, CVE-2016-3499, CVE-2016-3502, CVE-2016-3504, CVE-2016-3510, CVE-2016-3544, CVE-2016-3564, CVE-2016-3586, CVE-2016-3607, CVE-2016-3608, CVE-2016-5019, CVE-2016-5477, VIGILANCE-VUL-20164, ZDI-16-441, ZDI-16-442, ZDI-16-443, ZDI-16-444.

Description de la vulnérabilité 

Plusieurs vulnérabilités ont été annoncées dans Oracle Fusion Middleware.

Un attaquant peut employer une vulnérabilité via Oracle Directory Server Enterprise Edition, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-7182]

Un attaquant peut employer une vulnérabilité via Oracle GlassFish Server, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3607, ZDI-16-442]

Un attaquant peut employer une vulnérabilité via Oracle WebLogic Server, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3510, ZDI-16-443]

Un attaquant peut employer une vulnérabilité via Oracle WebLogic Server, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3586, ZDI-16-441]

Un attaquant peut employer une vulnérabilité via Oracle WebLogic Server, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3499, ZDI-16-444]

Un attaquant peut employer une vulnérabilité via Oracle JDeveloper, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3504, CVE-2016-5019]

Un attaquant peut employer une vulnérabilité via Oracle Business Intelligence Enterprise Edition, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3446]

Un attaquant peut employer une vulnérabilité via Oracle Portal, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-1181]

Un attaquant peut employer une vulnérabilité via Oracle TopLink, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3564]

Un attaquant peut employer une vulnérabilité via Oracle WebCenter Sites, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3487]

Un attaquant peut employer une vulnérabilité via Oracle Business Intelligence Enterprise Edition, afin d'obtenir ou d'altérer des informations. [grav:3/4; CVE-2016-3544]

Un attaquant peut employer une vulnérabilité via Oracle Exalogic Infrastructure, afin d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-1548]

Un attaquant peut employer une vulnérabilité via Oracle GlassFish Server, afin d'obtenir des informations, ou de mener un déni de service. [grav:2/4; CVE-2015-3237]

Un attaquant peut employer une vulnérabilité via Oracle WebCenter Sites, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:2/4; CVE-2016-3502]

Un attaquant peut employer une vulnérabilité via Oracle Access Manager, afin d'obtenir des informations. [grav:2/4; CVE-2016-2107]

Un attaquant peut employer une vulnérabilité via Oracle GlassFish Server, afin d'obtenir des informations. [grav:2/4; CVE-2016-3608]

Un attaquant peut employer une vulnérabilité via Oracle GlassFish Server, afin d'obtenir des informations. [grav:2/4; CVE-2016-5477]

Un attaquant peut employer une vulnérabilité via BI Publisher (formerly XML Publisher), afin d'obtenir ou d'altérer des informations. [grav:2/4; CVE-2016-3432]

Un attaquant peut employer une vulnérabilité via Oracle Business Intelligence Enterprise Edition, afin d'obtenir ou d'altérer des informations. [grav:2/4; CVE-2016-3433]

Un attaquant peut employer une vulnérabilité via Oracle WebLogic Server, afin de mener un déni de service. [grav:2/4; CVE-2016-3445]

Un attaquant peut employer une vulnérabilité via BI Publisher (formerly XML Publisher), afin d'obtenir des informations. [grav:1/4; CVE-2016-3474]

Un attaquant peut employer une vulnérabilité via Oracle HTTP Server, afin d'obtenir des informations. [grav:1/4; CVE-2016-3482]
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Ce bulletin cyber-sécurité concerne les logiciels ou systèmes comme WebSphere AS Traditional, Oracle Directory Server, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Portal, Oracle TopLink, WebLogic.

Notre équipe Vigil@nce a déterminé que la gravité de cette faille informatique est important.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de compte utilisateur.

Ce bulletin concerne 22 vulnérabilités.

Un attaquant avec un niveau de compétence expert peut exploiter ce bulletin de menace.

Solutions pour cette menace 

Oracle Fusion Middleware : CPU de juillet 2016.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2136219.1

IBM WebSphere Application Server : version 7.0.0.43.
La version 7.0.0.43 est corrigée.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit un bulletin de vulnérabilités informatiques. L'équipe Vigil@nce surveille les vulnérabilités informatiques de systèmes et d'applications.