L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de Oracle Java : multiples vulnérabilités de janvier 2014

Synthèse de la vulnérabilité 

Un attaquant peut employer plusieurs vulnérabilités de Oracle Java.
Systèmes impactés : Avamar, BIG-IP Hardware, TMOS, Fedora, HP-UX, AIX, Domino, Notes, IRAD, Tivoli System Automation, WebSphere AS Traditional, WebSphere MQ, Junos Space, Java OpenJDK, openSUSE, Java Oracle, JavaFX, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu, Unix (plateforme) ~ non exhaustif.
Gravité de cette alerte : 3/4.
Nombre de vulnérabilités dans ce bulletin : 36.
Date de création : 15/01/2014.
Références de cette alerte : 1663938, 1670264, 1671242, 1671245, 1674922, 1675938, 1679983, 4006386, 7014224, BID-64863, BID-64875, BID-64882, BID-64890, BID-64894, BID-64899, BID-64901, BID-64903, BID-64906, BID-64907, BID-64910, BID-64912, BID-64914, BID-64915, BID-64916, BID-64917, BID-64918, BID-64919, BID-64920, BID-64921, BID-64922, BID-64923, BID-64924, BID-64925, BID-64926, BID-64927, BID-64928, BID-64929, BID-64930, BID-64931, BID-64932, BID-64933, BID-64934, BID-64935, BID-64936, BID-64937, c04166777, c04166778, CERTA-2014-AVI-030, CERTFR-2014-AVI-199, CERTFR-2014-AVI-480, CERTFR-2016-AVI-300, cpujan2014, CVE-2013-5870, CVE-2013-5878, CVE-2013-5884, CVE-2013-5887, CVE-2013-5888, CVE-2013-5889, CVE-2013-5893, CVE-2013-5895, CVE-2013-5896, CVE-2013-5898, CVE-2013-5899, CVE-2013-5902, CVE-2013-5904, CVE-2013-5905, CVE-2013-5906, CVE-2013-5907, CVE-2013-5910, CVE-2014-0368, CVE-2014-0373, CVE-2014-0375, CVE-2014-0376, CVE-2014-0382, CVE-2014-0385, CVE-2014-0387, CVE-2014-0403, CVE-2014-0408, CVE-2014-0410, CVE-2014-0411, CVE-2014-0415, CVE-2014-0416, CVE-2014-0417, CVE-2014-0418, CVE-2014-0422, CVE-2014-0423, CVE-2014-0424, CVE-2014-0428, ESA-2014-002, FEDORA-2014-0885, FEDORA-2014-0945, FEDORA-2014-1048, FEDORA-2014-2071, FEDORA-2014-2088, HPSBUX02972, HPSBUX02973, JSA10659, MDVSA-2014:011, openSUSE-SU-2014:0174-1, openSUSE-SU-2014:0177-1, openSUSE-SU-2014:0180-1, RHSA-2014:0026-01, RHSA-2014:0027-01, RHSA-2014:0030-01, RHSA-2014:0097-01, RHSA-2014:0134-01, RHSA-2014:0135-01, RHSA-2014:0136-01, RHSA-2014:0982-01, SOL17381, SSRT101454, SSRT101455, SUSE-SU-2014:0246-1, SUSE-SU-2014:0266-1, SUSE-SU-2014:0266-2, SUSE-SU-2014:0266-3, SUSE-SU-2014:0451-1, USN-2124-1, USN-2124-2, VIGILANCE-VUL-14087, ZDI-14-013, ZDI-14-038.

Description de la vulnérabilité 

Plusieurs vulnérabilités ont été annoncées dans Oracle Java.

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-64915, CVE-2014-0410]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-64899, CVE-2014-0415]

Un attaquant peut employer une vulnérabilité de 2D TTF Font Parsing, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-64894, CVE-2013-5907, ZDI-14-013, ZDI-14-038]

Un attaquant peut employer une vulnérabilité de CORBA, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-64935, CVE-2014-0428]

Un attaquant peut employer une vulnérabilité de JNDI, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-64921, CVE-2014-0422]

Un attaquant peut employer une vulnérabilité de Install, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-64901, CVE-2014-0385]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-64931, CVE-2013-5889]

Un attaquant peut employer une vulnérabilité de Hotspot, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-64910, CVE-2014-0408]

Un attaquant peut employer une vulnérabilité de Libraries, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-64863, CVE-2013-5893]

Un attaquant peut employer une vulnérabilité de 2D, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-64932, CVE-2014-0417]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-64882, CVE-2014-0387]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-64919, CVE-2014-0424]

Un attaquant peut employer une vulnérabilité de Serviceability, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-64922, CVE-2014-0373]

Un attaquant peut employer une vulnérabilité de Security, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-64927, CVE-2013-5878]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-64890, CVE-2013-5904]

Un attaquant peut employer une vulnérabilité de JavaFX, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-64929, CVE-2013-5870]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir ou d'altérer des informations. [grav:2/4; BID-64920, CVE-2014-0403]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir ou d'altérer des informations. [grav:2/4; BID-64916, CVE-2014-0375]

Un attaquant peut employer une vulnérabilité de Beans, afin d'obtenir des informations, ou de mener un déni de service. [grav:2/4; BID-64914, CVE-2014-0423]

Un attaquant peut employer une vulnérabilité de Install, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:2/4; BID-64934, CVE-2013-5905]

Un attaquant peut employer une vulnérabilité de Install, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:2/4; BID-64903, CVE-2013-5906]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:2/4; BID-64923, CVE-2013-5902]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:2/4; BID-64917, CVE-2014-0418]

Un attaquant peut employer une vulnérabilité de Deployment, afin de mener un déni de service. [grav:2/4; BID-64875, CVE-2013-5887]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations. [grav:2/4; BID-64928, CVE-2013-5899]

Un attaquant peut employer une vulnérabilité de CORBA, afin de mener un déni de service. [grav:2/4; BID-64926, CVE-2013-5896]

Un attaquant peut employer une vulnérabilité de CORBA, afin d'obtenir des informations. [grav:2/4; BID-64924, CVE-2013-5884]

Un attaquant peut employer une vulnérabilité de JAAS, afin d'altérer des informations. [grav:2/4; BID-64937, CVE-2014-0416]

Un attaquant peut employer une vulnérabilité de JAXP, afin d'altérer des informations. [grav:2/4; BID-64907, CVE-2014-0376]

Un attaquant peut employer une vulnérabilité de Networking, afin d'obtenir des informations. [grav:2/4; BID-64930, CVE-2014-0368]

Un attaquant peut employer une vulnérabilité de Security, afin d'altérer des informations. [grav:2/4; BID-64933, CVE-2013-5910]

Un attaquant peut employer une vulnérabilité de JavaFX, afin d'obtenir des informations. [grav:2/4; BID-64906, CVE-2013-5895]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:2/4; BID-64925, CVE-2013-5888]

Un attaquant peut employer une vulnérabilité de JavaFX, afin de mener un déni de service. [grav:2/4; BID-64936, CVE-2014-0382]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir ou d'altérer des informations. [grav:2/4; BID-64912, CVE-2013-5898]

Un attaquant peut employer une vulnérabilité de JSSE, afin d'obtenir ou d'altérer des informations. [grav:2/4; BID-64918, CVE-2014-0411]
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette alerte de faille informatique concerne les logiciels ou systèmes comme Avamar, BIG-IP Hardware, TMOS, Fedora, HP-UX, AIX, Domino, Notes, IRAD, Tivoli System Automation, WebSphere AS Traditional, WebSphere MQ, Junos Space, Java OpenJDK, openSUSE, Java Oracle, JavaFX, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu, Unix (plateforme) ~ non exhaustif.

Notre équipe Vigil@nce a déterminé que la gravité de cette alerte de vulnérabilité informatique est important.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de document.

Ce bulletin concerne 36 vulnérabilités.

Un attaquant avec un niveau de compétence expert peut exploiter cet avis sécurité.

Solutions pour cette menace 

Oracle Java : version 7u51.
La version 7u51 est corrigée :
  http://www.oracle.com/technetwork/java/javase/downloads/index.html

Oracle Java : version 6u71.
La version 6u71 est corrigée :
  http://www.oracle.com/technetwork/indexes/downloads/index.html
  http://www.oracle.com/technetwork/java/javase/documentation/overview-156328.html

Oracle Java : version 5.0u61.
La version 5.0u61 est corrigée :
  http://www.oracle.com/technetwork/indexes/downloads/index.html
  http://www.oracle.com/technetwork/java/javase/documentation/overview-137139.html

IcedTea : versions 2.3.13 et 2.4.4.
Les versions 2.3.13 et 2.4.4 sont corrigées :
  http://icedtea.classpath.org/download/source/icedtea-2.3.13.tar.gz
  http://icedtea.classpath.org/download/source/icedtea-2.4.4.tar.gz

IcedTea : versions 1.12.8 et 1.13.1.
Les versions 1.12.8 et 1.13.1 sont corrigées :
  http://icedtea.classpath.org/download/source/icedtea6-1.12.8.tar.gz
  http://icedtea.classpath.org/download/source/icedtea6-1.13.1.tar.gz

IcedTea : version 1.11.15.
La version 1.11.15 est corrigée :
  http://icedtea.classpath.org/download/source/icedtea6-1.11.15.tar.gz

IcedTea-Web : version 1.4.2.
La version 1.4.2 est corrigée :
  http://icedtea.wildebeest.org/download/source/icedtea-web-1.4.2.tar.gz

AIX : versions corrigées pour Java.
Les versions suivantes sont corrigées :
IBM SDK, Java 2 Technology Edition, Version 5.0 Service Refresh 16 Fix Pack 4 :
  32-bit: https://www14.software.ibm.com/webapp/iwm/web/preLogin.do?source=dka&S_PKG=aix32j5b&S_TACT=105AGX05&S_CMP=JDK
  64-bit: https://www14.software.ibm.com/webapp/iwm/web/preLogin.do?source=dka&S_PKG=aix64j5b&S_TACT=105AGX05&S_CMP=JDK
IBM SDK, Java Technology Edition, Version 6 Service Refresh 15 :
  32-bit: https://www14.software.ibm.com/webapp/iwm/web/preLogin.do?source=dka&S_PKG=aix32j6b&S_TACT=105AGX05&S_CMP=JDK
  64-bit: https://www14.software.ibm.com/webapp/iwm/web/preLogin.do?source=dka&S_PKG=aix64j6b&S_TACT=105AGX05&S_CMP=JDK
IBM SDK, Java Technology Edition, Version 7 Service Refresh 6 :
  32-bit: https://www14.software.ibm.com/webapp/iwm/web/preLogin.do?source=dka&S_PKG=aix32j7b&S_TACT=105AGX05&S_CMP=JDK
  64-bit: https://www14.software.ibm.com/webapp/iwm/web/preLogin.do?source=dka&S_PKG=aix64j7b&S_TACT=105AGX05&S_CMP=JDK

EMC Avamar : solution pour JRE.
La solution est indiquée dans les sources d'information.

F5 BIG-IP : versions corrigées pour OpenJDK.
Les versions corrigées sont indiquées dans les sources d'information.

Fedora : nouveaux paquetages icedtea-web.
De nouveaux paquetages sont disponibles :
  icedtea-web-1.4.2-0.fc19
  icedtea-web-1.4.2-0.fc20

Fedora : nouveaux paquetages java-1.7.0-openjdk.
De nouveaux paquetages sont disponibles :
  java-1.7.0-openjdk-1.7.0.60-2.4.4.0.fc19
  java-1.7.0-openjdk-1.7.0.60-2.4.4.0.fc20

HP-UX : Java version 6.0.22.
La version 6.0.22 est corrigée :
  http://www.hp.com/java

HP-UX : Java version 7.0.09.
La version 7.0.09 est corrigée :
  https://h20565.www2.hpe.com/portal/site/hpsc/public/psi/home/?sp4ts.oid=4268160

IBM Domino : patch pour Java.
Un patch sera disponible.

IBM Notes : patch pour Java.
Un patch sera disponible.

IBM Rational Application Developer : solution pour Java.
La solution est indiquée dans les sources d'information.

IBM Tivoli System Automation : patch pour Java.
Un patch est disponible dans les sources d'information.

Junos Space : version 14.1R1.
La version 14.1R1 est corrigée :
  http://www.juniper.net/support/downloads/?p=space#sw

Mandriva : nouveaux paquetages java-1.7.0-openjdk.
De nouveaux paquetages sont disponibles :
  java-1.7.0-openjdk-1.7.0.60-2.4.4.1.mbs1

NetIQ Sentinel : version 7.1.2.
La version 7.1.2 est corrigée :
  https://www.netiq.com/

openSUSE : nouveaux paquetages java-1_7_0-openjdk.
De nouveaux paquetages sont disponibles :
  openSUSE 12.3 : java-1_7_0-openjdk-1.7.0.6-8.32.5
  openSUSE 13.1 : java-1_7_0-openjdk-1.7.0.6-24.13.5

Red Hat Satellite : nouveaux paquetages java-1.6.0-ibm.
De nouveaux paquetages sont disponibles :
  RHEL 5 : java-1.6.0-ibm 1.6.0.16.0-1jpp.1.el5
  RHEL 6 : java-1.6.0-ibm 1.6.0.16.0-1jpp.1.el6

RHEL : nouveaux paquetages java-1.5.0-ibm.
De nouveaux paquetages sont disponibles :
  java-1.5.0-ibm-1.5.0.16.5-1jpp.1.el5_10
  java-1.5.0-ibm-1.5.0.16.5-1jpp.1.el6_5

RHEL : nouveaux paquetages java-1.6.0-ibm.
De nouveaux paquetages sont disponibles :
  java-1.6.0-ibm-1.6.0.15.1-1jpp.1.el5_10
  java-1.6.0-ibm-1.6.0.15.1-1jpp.1.el6_5

RHEL : nouveaux paquetages java-1.6.0-openjdk.
De nouveaux paquetages sont disponibles :
  java-1.6.0-openjdk-1.6.0.0-3.1.13.1.el5_10
  java-1.6.0-openjdk-1.6.0.0-3.1.13.1.el6_5

RHEL : nouveaux paquetages java-1.7.0-ibm.
De nouveaux paquetages sont disponibles :
  java-1.7.0-ibm-1.7.0.6.1-1jpp.1.el5_10
  java-1.7.0-ibm-1.7.0.6.1-1jpp.1.el6_5

RHEL : nouveaux paquetages java-1.7.0-openjdk.
De nouveaux paquetages sont disponibles :
  java-1.7.0-openjdk-1.7.0.51-2.4.4.1.el5_10
  java-1.7.0-openjdk-1.7.0.51-2.4.4.1.el6_5

RHEL : nouveaux paquetages java-1.7.0-oracle.
De nouveaux paquetages sont disponibles :
  java-1.7.0-oracle-1.7.0.51-1jpp.1.el5_10
  java-1.7.0-oracle-1.7.0.51-1jpp.1.el6_5

SUSE LE 10 : nouveaux paquetages java-1_5_0-ibm.
De nouveaux paquetages sont disponibles :
  java-1_5_0-ibm-1.5.0_sr16.5-0.6.1

SUSE LE 11 : nouveaux paquetages java-1_6_0-ibm.
De nouveaux paquetages sont disponibles :
  java-1_6_0-ibm-1.6.0_sr15.1-0.6.1

SUSE LE 11 : nouveaux paquetages java-1_7_0-ibm.
De nouveaux paquetages sont disponibles :
  java-1_7_0-ibm-1.7.0_sr6.1-0.8.1

SUSE Manager 1.7 for SLE 11 SP2 : nouveaux paquetages java-1_6_0-ibm.
De nouveaux paquetages sont disponibles :
  SUSE Manager 1.7 for SLE 11 SP2 : java-1_6_0-ibm 1.6.0_sr15.1-0.6.1

Ubuntu : nouveaux paquetages openjdk-6-jre.
De nouveaux paquetages sont disponibles :
  Ubuntu 12.04 LTS : openjdk-6-jre 6b30-1.13.1-1ubuntu2~0.12.04.3
  Ubuntu 10.04 LTS : openjdk-6-jre 6b30-1.13.1-1ubuntu2~0.10.04.2

WebSphere Application Server : solution pour Java.
La solution est indiquée dans les sources d'information.

WebSphere MQ : patchs pour Java.
IBM WebSphere MQ intégre un Java Runtime Environment.
Les patchs applicables sont indiqués dans les sources d'information. L'une des sources est une procédure d'installation.

WebSphere MQ : version 7.0.1.13.
La version 7.0.1.13 est corrigée :
  http://www.ibm.com/support/docview.wss?uid=swg21960691
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit des bulletins de vulnérabilité applicative. La cellule de veille technologique suit les menaces sécurité qui ciblent le parc informatique.