L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de Oracle JRE, JDK, JavaFX : multiples vulnérabilités

Synthèse de la vulnérabilité 

Un attaquant peut employer plusieurs vulnérabilités de Oracle JRE, JDK, JavaFX.
Systèmes vulnérables : Debian, Fedora, HP-UX, Domino, Notes, Tivoli System Automation, WebSphere MQ, Java OpenJDK, openSUSE, Java Oracle, JavaFX, Solaris, RHEL, SUSE Linux Enterprise Desktop, SLES, vCenter Server, VMware vSphere.
Gravité de cette menace : 3/4.
Nombre de vulnérabilités dans ce bulletin : 40.
Date de création : 19/06/2013.
Références de cette faille : 1648416, 1650599, 1657132, BID-60617, BID-60618, BID-60619, BID-60620, BID-60621, BID-60622, BID-60623, BID-60624, BID-60625, BID-60626, BID-60627, BID-60629, BID-60630, BID-60631, BID-60632, BID-60633, BID-60634, BID-60635, BID-60636, BID-60637, BID-60638, BID-60639, BID-60640, BID-60641, BID-60643, BID-60644, BID-60645, BID-60646, BID-60647, BID-60649, BID-60650, BID-60651, BID-60652, BID-60653, BID-60654, BID-60655, BID-60656, BID-60657, BID-60658, BID-60659, c03868911, c03874547, c03898880, CERTA-2013-AVI-361, CERTFR-2014-AVI-244, CVE-2013-1500, CVE-2013-1571, CVE-2013-2400, CVE-2013-2407, CVE-2013-2412, CVE-2013-2437, CVE-2013-2442, CVE-2013-2443, CVE-2013-2444, CVE-2013-2445, CVE-2013-2446, CVE-2013-2447, CVE-2013-2448, CVE-2013-2449, CVE-2013-2450, CVE-2013-2451, CVE-2013-2452, CVE-2013-2453, CVE-2013-2454, CVE-2013-2455, CVE-2013-2456, CVE-2013-2457, CVE-2013-2458, CVE-2013-2459, CVE-2013-2460, CVE-2013-2461, CVE-2013-2462, CVE-2013-2463, CVE-2013-2464, CVE-2013-2465, CVE-2013-2466, CVE-2013-2467, CVE-2013-2468, CVE-2013-2469, CVE-2013-2470, CVE-2013-2471, CVE-2013-2472, CVE-2013-2473, CVE-2013-3743, CVE-2013-3744, DSA-2722-1, DSA-2727-1, FEDORA-2013-11281, FEDORA-2013-11285, HPSBUX02907, HPSBUX02908, HPSBUX02922, IC94453, javacpujun2013, KLYH95CMCJ, MDVSA-2013:183, MDVSA-2013:196, openSUSE-SU-2013:1247-1, openSUSE-SU-2013:1288-1, PSA-2013-0811-1, PSA-2013-0813-1, PSA-2013-0819-1, PSA-2013-0827-1, RHSA-2013:0957-01, RHSA-2013:0958-01, RHSA-2013:0963-01, RHSA-2013:1014-01, RHSA-2013:1059-01, RHSA-2013:1060-01, RHSA-2013:1081-01, RHSA-2013:1455-01, RHSA-2013:1456-01, SSRT101305, SUSE-SU-2013:1238-1, SUSE-SU-2013:1254-1, SUSE-SU-2013:1255-1, SUSE-SU-2013:1255-2, SUSE-SU-2013:1255-3, SUSE-SU-2013:1256-1, SUSE-SU-2013:1257-1, SUSE-SU-2013:1263-1, SUSE-SU-2013:1263-2, SUSE-SU-2013:1264-1, SUSE-SU-2013:1293-2, SUSE-SU-2013:1305-1, swg21641098, swg21644918, VIGILANCE-VUL-12992, VMSA-2013-0006.1, VMSA-2013-0009.1, VMSA-2013-0012.1, VU#225657, ZDI-13-132, ZDI-13-151, ZDI-13-152, ZDI-13-153, ZDI-13-154, ZDI-13-155, ZDI-13-156, ZDI-13-157, ZDI-13-158, ZDI-13-159, ZDI-13-160.

Description de la vulnérabilité 

Plusieurs vulnérabilités ont été annoncées dans Oracle JRE, JDK, JavaFX.

Un attaquant peut employer une vulnérabilité de 2D, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-60651, CVE-2013-2470, ZDI-13-158]

Un attaquant peut employer une vulnérabilité de 2D, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-60659, CVE-2013-2471, ZDI-13-152]

Un attaquant peut employer une vulnérabilité de 2D, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-60656, CVE-2013-2472, ZDI-13-151]

Un attaquant peut employer une vulnérabilité de 2D, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-60623, CVE-2013-2473, ZDI-13-154]

Un attaquant peut employer une vulnérabilité de 2D, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-60655, CVE-2013-2463, ZDI-13-156]

Un attaquant peut employer une vulnérabilité de 2D, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-60631, CVE-2013-2464, ZDI-13-157]

Un attaquant peut employer une vulnérabilité de 2D, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-60657, CVE-2013-2465, ZDI-13-153]

Un attaquant peut employer une vulnérabilité de 2D, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-60658, CVE-2013-2469, ZDI-13-155]

Un attaquant peut employer une vulnérabilité de AWT, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-60647, CVE-2013-2459, PSA-2013-0811-1]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-60637, CVE-2013-2468]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-60624, CVE-2013-2466]

Un attaquant peut employer une vulnérabilité de AWT, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:2/4; BID-60626, CVE-2013-3743]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-60630, CVE-2013-2462]

Un attaquant peut employer une vulnérabilité de Serviceability, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:2/4; BID-60635, CVE-2013-2460]

Un attaquant peut employer une vulnérabilité de Hotspot, afin de mener un déni de service. [grav:2/4; BID-60639, CVE-2013-2445]

Un attaquant peut employer une vulnérabilité de Sound, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-60640, CVE-2013-2448, ZDI-13-160]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-60643, CVE-2013-2442]

Un attaquant peut employer une vulnérabilité de Libraries, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-60645, CVE-2013-2461]

Un attaquant peut employer une vulnérabilité de Install, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-60649, CVE-2013-2467]

Un attaquant peut employer une vulnérabilité de Libraries, afin d'obtenir des informations, ou de mener un déni de service. [grav:3/4; BID-60653, CVE-2013-2407]

Un attaquant peut employer une vulnérabilité de JDBC, afin d'obtenir ou d'altérer des informations. [grav:2/4; BID-60650, CVE-2013-2454]

Un attaquant peut employer une vulnérabilité de Libraries, afin d'obtenir ou d'altérer des informations. [grav:2/4; BID-60652, CVE-2013-2458]

Un attaquant peut employer une vulnérabilité de AWT, afin de mener un déni de service. [grav:2/4; BID-60633, CVE-2013-2444]

Un attaquant peut employer une vulnérabilité de CORBA, afin d'obtenir des informations. [grav:2/4; BID-60620, CVE-2013-2446]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations. [grav:2/4; BID-60636, CVE-2013-2437]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'altérer des informations. [grav:2/4; BID-60621, CVE-2013-2400]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'altérer des informations. [grav:2/4; BID-60654, CVE-2013-3744]

Un attaquant peut employer une vulnérabilité de JMX, afin d'altérer des informations. [grav:2/4; BID-60632, CVE-2013-2457]

Un attaquant peut employer une vulnérabilité de JMX, afin d'altérer des informations. [grav:2/4; BID-60644, CVE-2013-2453]

Un attaquant peut employer une vulnérabilité de Libraries, afin d'obtenir des informations. [grav:2/4; BID-60646, CVE-2013-2443]

Un attaquant peut employer une vulnérabilité de Libraries, afin d'obtenir des informations. [grav:2/4; BID-60617, CVE-2013-2452]

Un attaquant peut employer une vulnérabilité de Libraries, afin d'obtenir des informations. [grav:2/4; BID-60619, CVE-2013-2455, ZDI-13-159]

Un attaquant peut employer une vulnérabilité de Networking, afin d'obtenir des informations. [grav:2/4; BID-60629, CVE-2013-2447]

Un attaquant peut employer une vulnérabilité de Serialization, afin de mener un déni de service. [grav:2/4; BID-60638, CVE-2013-2450]

Un attaquant peut employer une vulnérabilité de Serialization, afin d'obtenir des informations. [grav:2/4; BID-60641, CVE-2013-2456]

Un attaquant peut employer une vulnérabilité de Serviceability, afin d'obtenir des informations. [grav:2/4; BID-60618, CVE-2013-2412]

Un attaquant peut employer une vulnérabilité de Libraries, afin d'obtenir des informations. [grav:2/4; BID-60622, CVE-2013-2449]

Un attaquant peut employer une vulnérabilité de Javadoc, afin d'altérer des informations (VIGILANCE-VUL-13106). [grav:2/4; BID-60634, CVE-2013-1571, swg21641098, VU#225657]

Un attaquant peut employer une vulnérabilité de Networking, afin d'altérer des informations. [grav:2/4; BID-60625, CVE-2013-2451]

Un attaquant peut employer une vulnérabilité de 2D, afin d'obtenir ou d'altérer des informations. [grav:1/4; BID-60627, CVE-2013-1500]
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette alerte de menace concerne les logiciels ou systèmes comme Debian, Fedora, HP-UX, Domino, Notes, Tivoli System Automation, WebSphere MQ, Java OpenJDK, openSUSE, Java Oracle, JavaFX, Solaris, RHEL, SUSE Linux Enterprise Desktop, SLES, vCenter Server, VMware vSphere.

Notre équipe Vigil@nce a déterminé que la gravité de cette vulnérabilité cybersécurité est important.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de client internet.

Ce bulletin concerne 40 vulnérabilités.

Un démonstrateur ou un outil d'attaque est disponible, donc vos équipes doivent traiter cette alerte. Un attaquant avec un niveau de compétence débutant peut exploiter cette faille cybersécurité.

Solutions pour cette menace 

Oracle JRE, JDK : version 7u25.
La version 7u25 est corrigée :
  http://www.oracle.com/technetwork/java/javase/downloads/jre7-downloads-1880261.html

Oracle JRE, JDK : version 6u51.
La version 6u51 est corrigée :
  http://www.oracle.com/technetwork/java/javase/downloads/index.html
  http://www.oracle.com/technetwork/java/javase/documentation/overview-156328.html

Oracle JRE, JDK : version 5.0u51.
La version 5.0u51 est corrigée :
  http://www.oracle.com/technetwork/java/javase/documentation/overview-137139.html

Oracle JavaFX : version 2.2.25.
La version 2.2.25 est corrigée :
  http://www.oracle.com/technetwork/java/javase/downloads/index.html

Debian : nouveaux paquetages openjdk-6.
De nouveaux paquetages sont disponibles :
  openjdk-6 6b27-1.12.6-1~deb6u1
  openjdk-6 6b27-1.12.6-1~deb7u1

Debian : nouveaux paquetages openjdk-7.
De nouveaux paquetages sont disponibles :
  openjdk-7 7u25-2.3.10-1~deb7u1

Fedora : nouveaux paquetages java-1.7.0-openjdk.
De nouveaux paquetages sont disponibles :
  java-1.7.0-openjdk-1.7.0.25-2.3.10.3.fc17
  java-1.7.0-openjdk-1.7.0.25-2.3.10.3.fc18

HP-UX : Java version 1.5.0.29.00.
La version 1.5.0.29.00 est corrigée :
  http://www.hp.com/go/java

HP-UX : Java version 1.6.0.20.00.
Java version 1.6.0.20.00 est corrigée :
  http://www.hp.com/java

HP-UX : Java version 1.7.0.07.00.
Java version 1.7.0.07.00 est corrigée :
  http://www.hp.com/java

IBM Domino : version 8.5.3 Fix Pack 5.
La version 8.5.3 Fix Pack 5 est corrigée.

IBM Domino : version 9.0.1.
La version 9.0.1 est corrigée.

IBM Notes : version 8.5.3 Fix Pack 5.
La version 8.5.3 Fix Pack 5 est corrigée :
  http://www-933.ibm.com/support/fixcentral/swg/selectFix?product=ibm%2FLotus%2FLotus+Notes&fixids=Notes_853FP5_Standard_W32&source=myna&myns=swglotus&mynp=OCSSKTWP&mync=R&function=fixId&parent=ibm/Lotus

IBM Notes : version 9.0.1.
La version 9.0.1 est corrigée.

IBM Tivoli System Automation for Integrated Operations Management : version 2.1.1.5.
La version 2.1.1.5 est corrigée.

IBM Tivoli System Automation for Multiplatforms : patch pour Java.
Un patch est disponible dans les sources d'information.

Mandriva : nouveaux paquetages java-1.6.0-openjdk.
De nouveaux paquetages sont disponibles :
  java-1.6.0-openjdk-1.6.0.0-35.b24.6mdvmes5.2

Mandriva : nouveaux paquetages java-1.7.0-openjdk.
De nouveaux paquetages sont disponibles :
  java-1.7.0-openjdk-1.7.0.25-2.3.10.1.mbs1

openSUSE 11.4 : nouveaux paquetages java-1_6_0-openjdk.
De nouveaux paquetages sont disponibles :
  java-1_6_0-openjdk-1.6.0.0_b27.1.12.6-41.1

Red Hat Satellite : nouveaux paquetages java-1.6.0-ibm.
De nouveaux paquetages sont disponibles :
Red Hat Satellite (RHEL v.5):
  java-1.6.0-ibm-1.6.0.14.0-1jpp.1.el5_9
Red Hat Satellite (RHEL v.6):
  java-1.6.0-ibm-1.6.0.14.0-1jpp.1.el6_4

RHEL : nouveaux paquetages java-1.5.0-ibm.
De nouveaux paquetages sont disponibles :
  java-1.5.0-ibm-1.5.0.16.3-1jpp.1.el5_9
  java-1.5.0-ibm-1.5.0.16.3-1jpp.1.el6_4

RHEL : nouveaux paquetages java-1.6.0-ibm.
De nouveaux paquetages sont disponibles :
  java-1.6.0-ibm-1.6.0.14.0-1jpp.1.el5_9
  java-1.6.0-ibm-1.6.0.14.0-1jpp.1.el6_4

RHEL : nouveaux paquetages java-1.6.0-openjdk.
De nouveaux paquetages sont disponibles :
  RHEL 6 : java-1.6.0-openjdk-1.6.0.0-1.62.1.11.11.90.el6_4
  RHEL 5 : java-1.6.0-openjdk-1.6.0.0-1.41.1.11.11.90.el5_9

RHEL : nouveaux paquetages java-1.7.0-ibm.
De nouveaux paquetages sont disponibles :
  java-1.7.0-ibm-1.7.0.5.0-1jpp.2.el5_9
  java-1.7.0-ibm-1.7.0.5.0-1jpp.2.el6_4

RHEL : nouveaux paquetages java-1.7.0-openjdk.
De nouveaux paquetages sont disponibles :
  RHEL 6 : java-1.7.0-openjdk-1.7.0.25-2.3.10.3.el6
  RHEL 5 : java-1.7.0-openjdk-1.7.0.25-2.3.10.4.el5

RHEL : nouveaux paquetages java-1.7.0-oracle.
De nouveaux paquetages sont disponibles :
  RHEL 6 : java-1.7.0-oracle-1.7.0.25-1jpp.1.el6_4
  RHEL 5 : java-1.7.0-oracle-1.7.0.25-1jpp.1.el5_9

Solaris 11 : version 11.1.19.6.0.
La version 11.1.19.6.0 est corrigée :
  https://support.oracle.com/rs?type=doc&id=1673700.1

SUSE LE 10 : nouveaux paquetages java-1_5_0-ibm.
De nouveaux paquetages sont disponibles :
  java-1_5_0-ibm-1.5.0_sr16.3-0.5.1

SUSE LE 11 : nouveaux paquetages java-1_6_0-openjdk.
De nouveaux paquetages sont disponibles :
  java-1_6_0-openjdk-1.6.0.0_b27.1.12.6-0.2.1

SUSE LE 11 : nouveaux paquetages java-1_7_0-ibm.
De nouveaux paquetages sont disponibles :
  java-1_7_0-ibm-1.7.0_sr5.0-0.5.1

SUSE LE : nouveaux paquetages java-1_4_2-ibm.
De nouveaux paquetages sont disponibles :
  SUSE LE 10 : java-1_4_2-ibm-1.4.2_sr13.18-0.7.1
  SUSE LE 11 : java-1_4_2-ibm-1.4.2_sr13.18-0.4.1

SUSE LE : nouveaux paquetages java-1_6_0-ibm.
De nouveaux paquetages sont disponibles :
  SUSE LE 10 : java-1_6_0-ibm-1.6.0_sr14.0-0.11.1
  SUSE LE 11 : java-1_6_0-ibm-1.6.0_sr14.0-0.3.1

SUSE : nouveaux paquetages java-1_7_0-openjdk.
De nouveaux paquetages sont disponibles :
  openSUSE 12.2 : java-1_7_0-openjdk-1.7.0.6-3.41.1
  openSUSE 12.3 : java-1_7_0-openjdk-1.7.0.6-8.18.1
  SUSE LE 11 : java-1_7_0-openjdk-1.7.0.6-0.19.2

VMware vCenter Server : version 5.0 Update 3.
La version 5.0 Update 3 est corrigée :
  https://downloads.vmware.com/d/info/datacenter_cloud_infrastructure/vmware_vsphere/5_0

VMware vCenter Server : version 5.1 Update 2.
La version 5.1 Update 2 est corrigée :
  https://my.vmware.com/web/vmware/info/slug/datacenter_cloud_infrastructure/vmware_vsphere/5_1

WebSphere MQ : version 7.1.0.4.
La version 7.1.0.4 est corrigée :
  http://www-01.ibm.com/support/docview.wss?rs=171&uid=swg27006037

WebSphere MQ : version 7.5.0.3.
La version 7.5.0.3 est corrigée :
  http://www-01.ibm.com/support/docview.wss?uid=swg21662062&myns=swgws&mynp=OCSSFKSJ&mync=R
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit un correctif de vulnérabilités de systèmes. La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles.