L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de Oracle Java : multiples vulnérabilités d'octobre 2014

Synthèse de la vulnérabilité 

Plusieurs vulnérabilités de Oracle Java ont été annoncées en octobre 2014.
Systèmes vulnérables : Debian, Fedora, HP-UX, AIX, IRAD, Tivoli Workload Scheduler, WebSphere MQ, ePO, Java OpenJDK, Java Oracle, JavaFX, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu, Unix (plateforme) ~ non exhaustif.
Gravité de cette menace : 3/4.
Nombre de vulnérabilités dans ce bulletin : 25.
Date de création : 15/10/2014.
Références de cette faille : 1699051, 1700706, 7045736, 74387, c04517477, CERTFR-2014-AVI-429, cpuoct2014, CVE-2014-4288, CVE-2014-6456, CVE-2014-6457, CVE-2014-6458, CVE-2014-6466, CVE-2014-6468, CVE-2014-6476, CVE-2014-6485, CVE-2014-6492, CVE-2014-6493, CVE-2014-6502, CVE-2014-6503, CVE-2014-6504, CVE-2014-6506, CVE-2014-6511, CVE-2014-6512, CVE-2014-6513, CVE-2014-6515, CVE-2014-6517, CVE-2014-6519, CVE-2014-6527, CVE-2014-6531, CVE-2014-6532, CVE-2014-6558, CVE-2014-6562, DSA-3077-1, DSA-3080-1, FEDORA-2014-13021, FEDORA-2014-13027, FEDORA-2014-13049, FEDORA-2014-13075, HPSBUX03218, MDVSA-2014:209, RHSA-2014:1620-01, RHSA-2014:1633-01, RHSA-2014:1634-01, RHSA-2014:1636-01, RHSA-2014:1657-01, RHSA-2014:1658-01, RHSA-2014:1876-01, RHSA-2014:1877-01, RHSA-2014:1880-01, RHSA-2014:1881-01, RHSA-2014:1882-01, SB10092, SSRT101770, SUSE-SU-2014:1422-1, SUSE-SU-2014:1526-1, SUSE-SU-2014:1526-2, SUSE-SU-2014:1549-1, USN-2386-1, USN-2388-1, USN-2388-2, VIGILANCE-VUL-15482, ZDI-14-382.

Description de la vulnérabilité 

Plusieurs vulnérabilités ont été annoncées dans Oracle Fusion.

Un attaquant peut employer une vulnérabilité de AWT, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-6513]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-6532]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-6503]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-6456]

Un attaquant peut employer une vulnérabilité de Libraries, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-6562]

Un attaquant peut employer une vulnérabilité de JavaFX, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-6485]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-6492]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-6493]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-4288]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-6466, ZDI-14-382]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-6458]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-6468]

Un attaquant peut employer une vulnérabilité de Libraries, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:2/4; CVE-2014-6506]

Un attaquant peut employer une vulnérabilité de 2D, afin d'obtenir des informations. [grav:2/4; CVE-2014-6511]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'altérer des informations. [grav:2/4; CVE-2014-6476]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'altérer des informations. [grav:2/4; CVE-2014-6515]

Un attaquant peut employer une vulnérabilité de Hotspot, afin d'obtenir des informations. [grav:2/4; CVE-2014-6504]

Un attaquant peut employer une vulnérabilité de Hotspot, afin d'altérer des informations. [grav:2/4; CVE-2014-6519]

Un attaquant peut employer une vulnérabilité de JAXP, afin d'obtenir des informations. [grav:2/4; CVE-2014-6517]

Un attaquant peut employer une vulnérabilité de Libraries, afin d'obtenir des informations. [grav:2/4; CVE-2014-6531]

Un attaquant peut employer une vulnérabilité de Libraries, afin d'altérer des informations. [grav:2/4; CVE-2014-6512]

Un attaquant peut employer une vulnérabilité de JSSE, afin d'obtenir ou d'altérer des informations. [grav:2/4; CVE-2014-6457]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'altérer des informations. [grav:1/4; CVE-2014-6527]

Un attaquant peut employer une vulnérabilité de Libraries, afin d'altérer des informations. [grav:1/4; CVE-2014-6502]

Un attaquant peut employer une vulnérabilité de Security, afin d'altérer des informations. [grav:1/4; CVE-2014-6558]
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Ce bulletin de faille informatique concerne les logiciels ou systèmes comme Debian, Fedora, HP-UX, AIX, IRAD, Tivoli Workload Scheduler, WebSphere MQ, ePO, Java OpenJDK, Java Oracle, JavaFX, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu, Unix (plateforme) ~ non exhaustif.

Notre équipe Vigil@nce a déterminé que la gravité de cette vulnérabilité informatique est important.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de document.

Ce bulletin concerne 25 vulnérabilités.

Un attaquant avec un niveau de compétence expert peut exploiter cette vulnérabilité cyber-sécurité.

Solutions pour cette menace 

Oracle Java : version 8u25.
La version 8u25 est corrigée :
  http://www.oracle.com/technetwork/java/javase/downloads/index.html

Oracle Java : version 7u71.
La version 7u71 est corrigée :
  http://www.oracle.com/technetwork/java/javase/downloads/index.html

Oracle Java : version 6u85.
La version 6u85 est corrigée :
  http://www.oracle.com/technetwork/indexes/downloads/index.html
  http://www.oracle.com/technetwork/java/javase/documentation/overview-156328.html

Oracle Java : version 5.0u75.
La version 5.0u75 est corrigée :
  http://www.oracle.com/technetwork/indexes/downloads/index.html
  http://www.oracle.com/technetwork/java/javase/documentation/overview-137139.html

IcedTea : version 2.5.3.
La version 2.5.3 est corrigée :
  http://icedtea.classpath.org/download/source/icedtea-2.5.3.tar.gz

IcedTea : version 1.13.5.
La version 1.13.5 est corrigée :
  http://icedtea.classpath.org/download/source/icedtea6-1.13.5.tar.gz

AIX : versions corrigées pour Java.
Les versions corrigées sont indiquées dans les sources d'information.

Debian : nouveaux paquetages openjdk-6.
De nouveaux paquetages sont disponibles :
  Debian 7 : openjdk-6 6b33-1.13.5-2~deb7u1

Debian : nouveaux paquetages openjdk-7.
De nouveaux paquetages sont disponibles :
  Debian 7 : openjdk-7 7u71-2.5.3-2~deb7u1

Fedora : nouveaux paquetages java-1.7.0-openjdk.
De nouveaux paquetages sont disponibles :
  Fedora 19 : java-1.7.0-openjdk 1.7.0.71-2.5.3.0.fc19
  Fedora 20 : java-1.7.0-openjdk 1.7.0.71-2.5.3.0.fc20

Fedora : nouveaux paquetages java-1.8.0-openjdk.
De nouveaux paquetages sont disponibles :
  Fedora 19 : java-1.8.0-openjdk 1.8.0.25-0.b18.fc19
  Fedora 20 : java-1.8.0-openjdk 1.8.0.25-0.b18.fc20

HP-UX : Java version 1.7.0.11.00.
La version 1.7.0.11.00 est corrigée :
  http://www.hp.com/java

IBM Rational Application Developer : version 9.0.1.2.
La version 9.0.1.2 est corrigée :
  http://www.ibm.com/support/docview.wss?uid=swg24039952

Mandriva : nouveaux paquetages java-1.7.0-openjdk.
De nouveaux paquetages sont disponibles :
  Mandriva BS1 : java-1.7.0-openjdk 1.7.0.65-2.5.3.1.mbs1

McAfee ePO : version 4.6.9.
La version 4.6.9 est corrigée.

McAfee ePO : versions corrigées pour Java.
Les versions corrigées sont indiquées dans les sources d'information.

RHEL 5 : nouveaux paquetages java-1.7.0-openjdk.
De nouveaux paquetages sont disponibles :
  RHEL 5 : java-1.7.0-openjdk 1.7.0.71-2.5.3.1.el5_11

RHEL 6, 7 : nouveaux paquetages java-1.7.0-openjdk.
De nouveaux paquetages sont disponibles :
  RHEL 6 : java-1.7.0-openjdk 1.7.0.71-2.5.3.1.el6
  RHEL 7 : java-1.7.0-openjdk 1.7.0.71-2.5.3.1.el7_0

RHEL 6 : nouveaux paquetages java-1.8.0-openjdk.
De nouveaux paquetages sont disponibles :
  RHEL 6 : java-1.8.0-openjdk 1.8.0.25-1.b17.el6

RHEL : nouveaux paquetages java-1.5.0-ibm.
De nouveaux paquetages sont disponibles :
  RHEL 5 : java-1.5.0-ibm 1.5.0.16.8-1jpp.1.el5
  RHEL 6 : java-1.5.0-ibm 1.5.0.16.8-1jpp.1.el6_6

RHEL : nouveaux paquetages java-1.6.0-ibm.
De nouveaux paquetages sont disponibles :
  RHEL 5 : java-1.6.0-ibm 1.6.0.16.2-1jpp.1.el5
  RHEL 6 : java-1.6.0-ibm 1.6.0.16.2-1jpp.1.el6_6

RHEL : nouveaux paquetages java-1.6.0-openjdk.
De nouveaux paquetages sont disponibles :
  RHEL 5 : java-1.6.0-openjdk 1.6.0.33-1.13.5.0.el5_11
  RHEL 6 : java-1.6.0-openjdk 1.6.0.33-1.13.5.0.el6_6
  RHEL 7 : java-1.6.0-openjdk 1.6.0.33-1.13.5.0.el7_0

RHEL : nouveaux paquetages java-1.6.0-sun.
De nouveaux paquetages sont disponibles :
  RHEL 5 : java-1.6.0-sun 1.6.0.85-1jpp.3.el5_11
  RHEL 6 : java-1.6.0-sun 1.6.0.85-1jpp.2.el6
  RHEL 7 : java-1.6.0-sun 1.6.0.85-1jpp.2.el7

RHEL : nouveaux paquetages java-1.7.0-ibm.
De nouveaux paquetages sont disponibles :
  RHEL 5 : java-1.7.0-ibm 1.7.0.8.0-1jpp.1.el5
  RHEL 6 : java-1.7.0-ibm 1.7.0.8.0-1jpp.1.el6_6

RHEL : nouveaux paquetages java-1.7.0-oracle.
De nouveaux paquetages sont disponibles :
  RHEL 5 : java-1.7.0-oracle 1.7.0.72-1jpp.4.el5_11
  RHEL 6 : java-1.7.0-oracle 1.7.0.72-1jpp.2.el6
  RHEL 7 : java-1.7.0-oracle 1.7.0.72-1jpp.2.el7

RHEL : nouveaux paquetages java-1.7.1-ibm.
De nouveaux paquetages sont disponibles :
  RHEL 6 : java-1.7.1-ibm 1.7.1.2.0-1jpp.3.el6_6

SUSE LE 11 : nouveaux paquetages java-1_x_0-ibm.
De nouveaux paquetages sont disponibles :
  SUSE LE 11 : java-1_6_0-ibm 1.6.0_sr16.2-0.3.1, java-1_7_0-ibm 1.7.0_sr8.0-0.5.1
  SUSE LE 12 : java-1_7_1-ibm 1.7.1_sr2.0-4.1

SUSE LE 12 : nouveaux paquetages java-1_7_0-openjdk.
De nouveaux paquetages sont disponibles :
  SUSE LE 12 : java-1_7_0-openjdk 1.7.0.71-6.2

SUSE Manager 1.7 for SLE 11 : nouveaux paquetages java-1_6_0-ibm.
De nouveaux paquetages sont disponibles :
  SUSE LE 11 : java-1_6_0-ibm 1.6.0_sr16.2-0.3.1

Tivoli Workload Scheduler : solution pour OpenSSL et Java.
La solution est indiquée dans les sources d'information.

Ubuntu : nouveaux paquetages openjdk-6-jre.
De nouveaux paquetages sont disponibles :
  Ubuntu 12.04 LTS : openjdk-6-jre 6b33-1.13.5-1ubuntu0.12.04
  Ubuntu 10.04 LTS : openjdk-6-jre 6b33-1.13.5-1ubuntu0.10.04

Ubuntu : nouveaux paquetages OpenJDK 7.
De nouveaux paquetages sont disponibles :
  Ubuntu 14.04 LTS : openjdk-7-jre 7u71-2.5.3-0ubuntu0.14.04.1, icedtea-7-jre-jamvm 7u71-2.5.3-0ubuntu0.14.04.1
  Ubuntu 14.10 : openjdk-7-jre 7u71-2.5.3-0ubuntu1, icedtea-7-jre-jamvm 7u71-2.5.3-0ubuntu1

WebSphere MQ : solution.
La solution est indiquée dans les sources d'information.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit des alertes de vulnérabilités logicielles. La veille sécurité Vigil@nce publie des bulletins de vulnérabilités pour les failles qui impactent le système d'information.