L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données et des outils pour y remédier.

Vulnérabilité de Oracle Fusion : multiples vulnérabilités de juillet 2015

Synthèse de la vulnérabilité

Plusieurs vulnérabilités de Oracle Fusion ont été annoncées en juillet 2015.
Gravité de ce bulletin : 3/4.
Nombre de vulnérabilités dans ce bulletin : 39.
Date création : 15/07/2015.
Références de cette menace : 1962107, cpujul2015, CVE-2013-2186, CVE-2014-1568, CVE-2014-1569, CVE-2014-3566, CVE-2014-3567, CVE-2014-3571, CVE-2014-7809, CVE-2015-0286, CVE-2015-0443, CVE-2015-0444, CVE-2015-0445, CVE-2015-0446, CVE-2015-1926, CVE-2015-2593, CVE-2015-2598, CVE-2015-2602, CVE-2015-2603, CVE-2015-2604, CVE-2015-2605, CVE-2015-2606, CVE-2015-2623, CVE-2015-2634, CVE-2015-2635, CVE-2015-2636, CVE-2015-2658, CVE-2015-4742, CVE-2015-4744, CVE-2015-4745, CVE-2015-4747, CVE-2015-4751, CVE-2015-4758, CVE-2015-4759, VIGILANCE-VUL-17373.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Oracle Fusion.

Un attaquant peut employer une vulnérabilité de Oracle Business Intelligence Enterprise Edition, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2013-2186]

Un attaquant peut employer une vulnérabilité de Oracle Directory Server Enterprise Edition, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-1568]

Un attaquant peut employer une vulnérabilité de Oracle Endeca Information Discovery Studio, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-4745]

Un attaquant peut employer une vulnérabilité de Oracle Endeca Information Discovery Studio, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-2603]

Un attaquant peut employer une vulnérabilité de Oracle Endeca Information Discovery Studio, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-2602]

Un attaquant peut employer une vulnérabilité de Oracle Endeca Information Discovery Studio, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-2604]

Un attaquant peut employer une vulnérabilité de Oracle Endeca Information Discovery Studio, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-2605]

Un attaquant peut employer une vulnérabilité de Oracle Endeca Information Discovery Studio, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-2606]

Un attaquant peut employer une vulnérabilité de Oracle GlassFish Server, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-1569]

Un attaquant peut employer une vulnérabilité de Oracle OpenSSO, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-1568]

Un attaquant peut employer une vulnérabilité de Oracle Traffic Director, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-1568]

Un attaquant peut employer une vulnérabilité de Oracle iPlanet Web Proxy Server, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-1569]

Un attaquant peut employer une vulnérabilité de Oracle iPlanet Web Server, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-1569]

Un attaquant peut employer une vulnérabilité de Oracle Access Manager, afin d'obtenir ou d'altérer des informations. [grav:3/4; CVE-2015-2593]

Un attaquant peut employer une vulnérabilité de Oracle Tuxedo, afin de mener un déni de service. [grav:3/4; CVE-2014-3567]

Un attaquant peut employer une vulnérabilité de Oracle Data Integrator, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-0443]

Un attaquant peut employer une vulnérabilité de Oracle Data Integrator, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-0444]

Un attaquant peut employer une vulnérabilité de Oracle Data Integrator, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-0445]

Un attaquant peut employer une vulnérabilité de Oracle Data Integrator, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-0446]

Un attaquant peut employer une vulnérabilité de Oracle Data Integrator, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-4759]

Un attaquant peut employer une vulnérabilité de Oracle Data Integrator, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-4758]

Un attaquant peut employer une vulnérabilité de Oracle Data Integrator, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-2634]

Un attaquant peut employer une vulnérabilité de Oracle Data Integrator, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-2635]

Un attaquant peut employer une vulnérabilité de Oracle Data Integrator, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-2636]

Un attaquant peut employer une vulnérabilité de Oracle Event Processing, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-4747]

Un attaquant peut employer une vulnérabilité de Oracle WebCenter Sites, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-7809]

Un attaquant peut employer une vulnérabilité de Oracle WebCenter Portal, afin d'obtenir ou d'altérer des informations. [grav:2/4; CVE-2015-1926]

Un attaquant peut employer une vulnérabilité de Oracle Access Manager, afin de mener un déni de service. [grav:2/4; CVE-2015-4751]

Un attaquant peut employer une vulnérabilité de Oracle Exalogic Infrastructure, afin de mener un déni de service. [grav:2/4; CVE-2015-0286]

Un attaquant peut employer une vulnérabilité de Oracle JDeveloper, afin de mener un déni de service. [grav:2/4; CVE-2015-4742]

Un attaquant peut employer une vulnérabilité de Oracle Tuxedo, afin de mener un déni de service. [grav:2/4; CVE-2014-3571]

Un attaquant peut employer une vulnérabilité de Oracle Tuxedo, afin de mener un déni de service. [grav:2/4; CVE-2015-0286]

Un attaquant peut employer une vulnérabilité de Web Cache, afin d'obtenir des informations. [grav:2/4; CVE-2015-2658]

Un attaquant peut employer une vulnérabilité de Oracle GlassFish Server, afin d'altérer des informations. [grav:2/4; CVE-2015-2623]

Un attaquant peut employer une vulnérabilité de Oracle Tuxedo, afin d'obtenir des informations. [grav:2/4; CVE-2014-3566]

Un attaquant peut employer une vulnérabilité de Oracle WebLogic Server, afin d'altérer des informations. [grav:2/4; CVE-2015-2623]

Un attaquant peut employer une vulnérabilité de Oracle Business Intelligence Enterprise Edition, afin d'altérer des informations. [grav:2/4; CVE-2015-2598]

Un attaquant peut employer une vulnérabilité de Oracle GlassFish Server, afin d'altérer des informations. [grav:1/4; CVE-2015-4744]

Un attaquant peut employer une vulnérabilité de Oracle WebLogic Server, afin d'altérer des informations. [grav:1/4; CVE-2015-4744]
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette alerte de vulnérabilité informatique concerne les logiciels ou systèmes comme WebSphere AS Traditional, Oracle Directory Server, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle iPlanet Web Proxy Server, Oracle iPlanet Web Server, Tuxedo, WebLogic, Oracle Web Tier.

Notre équipe Vigil@nce a déterminé que la gravité de cette alerte de faille est important.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de client internet.

Ce bulletin concerne 39 vulnérabilités.

Un attaquant avec un niveau de compétence expert peut exploiter cette alerte sécurité.

Solutions pour cette menace

Oracle Fusion : CPU de juillet 2015.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2005667.1
  https://support.oracle.com/rs?type=doc&id=2019778.1

WebSphere AS : solution pour JSR 286.
La solution est indiquée dans les sources d'information.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit des avis cyber-sécurité. La veille sécurité Vigil@nce publie des bulletins de vulnérabilités pour les failles qui impactent le système d'information.