L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilité de Oracle Java : exécution de code via Hotspot

Synthèse de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité dans Hotspot de Oracle Java, afin d'exécuter du code dans le navigateur web de la victime qui charge une applet Java malveillante.
Gravité de cette menace : 3/4.
Date création : 24/03/2016.
Références de cette faille : 1984678, 1985875, 1987778, BSA-2016-006, CERTFR-2016-AVI-108, CVE-2016-0636, DLA-451-1, DSA-3558-1, FEDORA-2016-90ee071b21, FEDORA-2016-d5dd39a1d5, openSUSE-SU-2016:0971-1, openSUSE-SU-2016:0983-1, openSUSE-SU-2016:1004-1, openSUSE-SU-2016:1005-1, openSUSE-SU-2016:1042-1, RHSA-2016:0511-01, RHSA-2016:0512-01, RHSA-2016:0513-01, RHSA-2016:0514-01, RHSA-2016:0515-01, RHSA-2016:0516-01, SE-2012-01, SUSE-SU-2016:0956-1, SUSE-SU-2016:0957-1, SUSE-SU-2016:0959-1, USN-2942-1, VIGILANCE-VUL-19232.

Description de la vulnérabilité

Le produit Oracle Java utilise le compilateur Hotspot.

Cependant, une vulnérabilité dans Hotspot permet d'exécuter du code. Les détails techniques ne sont pas connus, mais il pourrait s'agir d'une correction incomplète de CVE-2013-5838.

Un attaquant peut donc utiliser une vulnérabilité dans Hotspot de Oracle Java, afin d'exécuter du code dans le navigateur web de la victime qui charge une applet Java malveillante.
Bulletin Vigil@nce complet... (Essai gratuit)

Cette alerte de faille informatique concerne les logiciels ou systèmes comme FabricOS, Brocade Network Advisor, Brocade vTM, Debian, Fedora, Domino, Notes, QRadar SIEM, Java OpenJDK, openSUSE, openSUSE Leap, Java Oracle, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu.

Notre équipe Vigil@nce a déterminé que la gravité de cette alerte de vulnérabilité informatique est important.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de document.

Un attaquant avec un niveau de compétence expert peut exploiter cet avis sécurité.

Solutions pour cette menace

Oracle Java : version 8u77.
La version 8u77 est corrigée :
  http://www.oracle.com/technetwork/java/javase/downloads/index.html
  http://www.oracle.com/technetwork/java/javase/documentation/8u-relnotes-2225394.html
  http://www.oracle.com/technetwork/java/javase/8all-relnotes-2226344.html

Oracle Java : version 7u99.
La version 7u99 est corrigée :
  http://www.oracle.com/technetwork/indexes/downloads/index.html
  http://www.oracle.com/technetwork/java/javase/documentation/javase7supportreleasenotes-1601161.html

Brocade : solution pour Multiples Vulnérabilités.
La solution est indiquée dans les sources d'information.

Debian : nouveaux paquetages openjdk-7.
De nouveaux paquetages sont disponibles :
  Debian 7 : openjdk-7 7u101-2.6.6-2~deb7u1
  Debian 8 : openjdk-7 7u101-2.6.6-1~deb8u1

Fedora : nouveaux paquetages java-1.8.0-openjdk.
De nouveaux paquetages sont disponibles :
  Fedora 22 : java-1.8.0-openjdk 1.8.0.77-1.b03.fc22
  Fedora 23 : java-1.8.0-openjdk 1.8.0.77-1.b03.fc23

IBM Domino, Notes : patch pour IBM SDK Java.
Un patch est disponible :
  http://www.ibm.com/support/docview.wss?uid=swg21657963
  http://www-01.ibm.com/support/docview.wss?uid=swg21663874

IBM QRadar SIEM : versions corrigées pour IBM Java.
Les versions corrigées sont indiquées dans les sources d'information.

IBM TADDM : patch pour JAVA.
Un patch est indiqué dans les sources d'information.

openSUSE : nouveaux paquetages java-1_7_0-openjdk.
De nouveaux paquetages sont disponibles :
  openSUSE 13.1 : java-1_7_0-openjdk 1.7.0.99-24.33.2
  openSUSE 13.2 : java-1_7_0-openjdk 1.7.0.99-19.1
  openSUSE Leap 42.1 : java-1_7_0-openjdk 1.7.0.99-28.1

openSUSE : nouveaux paquetages java-1_8_0-openjdk.
De nouveaux paquetages sont disponibles :
  openSUSE 13.2 : java-1_8_0-openjdk 1.8.0.77-24.1
  openSUSE Leap 42.1 : java-1_8_0-openjdk 1.8.0.77-9.1

RHEL : nouveaux paquetages java.
De nouveaux paquetages sont disponibles :
  RHEL 5 : java-1.7.0-oracle 1.7.0.99-1jpp.1.el5_11, java-1.7.0-openjdk 1.7.0.99-2.6.5.0.el5_11
  RHEL 6 : java-1.7.0-openjdk 1.7.0.99-2.6.5.0.el6_7, java-1.7.0-oracle 1.7.0.99-1jpp.1.el6_7, java-1.8.0-openjdk 1.8.0.77-0.b03.el6_7, java-1.8.0-oracle 1.8.0.77-1jpp.1.el6_7
  RHEL 7 : java-1.7.0-openjdk 1.7.0.99-2.6.5.0.el7_2, java-1.8.0-openjdk 1.8.0.77-0.b03.el7_2, java-1.8.0-oracle 1.8.0.77-1jpp.1.el7

SUSE LE 12 SP1 : nouveaux paquetages java-1_8_0-openjdk.
De nouveaux paquetages sont disponibles :
  SUSE LE 12 SP1 : java-1_8_0-openjdk 1.8.0.77-6.1

SUSE LE : nouveaux paquetages java-1_7_0-openjdk.
De nouveaux paquetages sont disponibles :
  SUSE LE 11 SP4 : java-1_7_0-openjdk 1.7.0.99-0.20.2
  SUSE LE 12 RTM : java-1_7_0-openjdk 1.7.0.99-27.1
  SUSE LE 12 SP1 : java-1_7_0-openjdk 1.7.0.99-27.1

Ubuntu : nouveaux paquetages openjdk-7.
De nouveaux paquetages sont disponibles :
  Ubuntu 15.10 : openjdk-7 7u95-2.6.4-0ubuntu0.15.10.2
  Ubuntu 14.04 LTS : openjdk-7 7u95-2.6.4-0ubuntu0.14.04.2
Bulletin Vigil@nce complet... (Essai gratuit)

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit des avis de vulnérabilité informatique. L'équipe Vigil@nce surveille les vulnérabilités informatiques de systèmes et d'applications.