L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de Oracle Java : multiples vulnérabilités de janvier 2016

Synthèse de la vulnérabilité 

Un attaquant peut employer plusieurs vulnérabilités de Oracle Java.
Systèmes impactés : Brocade Network Advisor, Brocade vTM, Debian, Avamar, BIG-IP Hardware, TMOS, Fedora, AIX, Domino par IBM, Notes par IBM, SPSS Modeler, Tivoli System Automation, WebSphere AS Traditional, WebSphere MQ, JAXP, ePO, SnapManager, Java OpenJDK, openSUSE, openSUSE Leap, Java Oracle, Puppet, RHEL, SUSE Linux Enterprise Desktop, SLES, Synology DS***, Synology RS***, Ubuntu.
Gravité de cette alerte : 3/4.
Nombre de vulnérabilités dans ce bulletin : 9.
Date de création : 20/01/2016.
Références de cette alerte : 1975365, 1975424, 1976200, 1976262, 1976896, 1977127, 1977129, 1977405, 1977518, 479387, 7043086, 9010057, BSA-2016-004, CERTFR-2015-AVI-488, CERTFR-2016-AVI-027, cpujan2016, CVE-2015-7575, CVE-2015-8126, CVE-2016-0402, CVE-2016-0448, CVE-2016-0466, CVE-2016-0475, CVE-2016-0483, CVE-2016-0494, DSA-3458-1, DSA-3465-1, ESA-2016-003, FEDORA-2016-3ea667977a, FEDORA-2016-946b98126d, NTAP-20160121-0001, openSUSE-SU-2016:0263-1, openSUSE-SU-2016:0268-1, openSUSE-SU-2016:0270-1, openSUSE-SU-2016:0272-1, openSUSE-SU-2016:0279-1, RHSA-2016:0049-01, RHSA-2016:0050-01, RHSA-2016:0053-01, RHSA-2016:0054-01, RHSA-2016:0055-01, RHSA-2016:0056-01, RHSA-2016:0057-01, RHSA-2016:0067-01, RHSA-2016:0098-01, RHSA-2016:0099-01, RHSA-2016:0100-01, RHSA-2016:0101-01, SB10148, SLOTH, SOL50118123, SUSE-SU-2016:0256-1, SUSE-SU-2016:0265-1, SUSE-SU-2016:0269-1, SUSE-SU-2016:0390-1, SUSE-SU-2016:0399-1, SUSE-SU-2016:0401-1, SUSE-SU-2016:0428-1, SUSE-SU-2016:0431-1, SUSE-SU-2016:0433-1, SUSE-SU-2016:0636-1, SUSE-SU-2016:0770-1, SUSE-SU-2016:0776-1, USN-2884-1, USN-2885-1, VIGILANCE-VUL-18761, ZDI-16-032.

Description de la vulnérabilité 

Plusieurs vulnérabilités ont été annoncées dans Oracle Java.

Un attaquant peut employer une vulnérabilité de 2D, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service (VIGILANCE-VUL-21215). [grav:3/4; CVE-2016-0494]

Un attaquant peut employer une vulnérabilité de AWT libpng, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service (VIGILANCE-VUL-18301). [grav:3/4; CERTFR-2015-AVI-488, CVE-2015-8126]

Un attaquant peut employer une vulnérabilité de AWT, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-0483, ZDI-16-032]

Un attaquant peut employer une vulnérabilité de Libraries, afin d'obtenir ou d'altérer des informations. [grav:2/4; CVE-2016-0475]

Un attaquant peut employer une vulnérabilité de Networking, afin d'altérer des informations. [grav:2/4; CVE-2016-0402]

Un attaquant peut employer une vulnérabilité de JAXP, afin de mener un déni de service. [grav:2/4; CVE-2016-0466]

Un attaquant peut employer une vulnérabilité de JMX, afin d'obtenir des informations. [grav:2/4; CVE-2016-0448]

Un attaquant peut créer une collision MD5 dans une session TLS 1.2, afin d'intercepter les données de la session (VIGILANCE-VUL-18586). [grav:2/4; CVE-2015-7575, SLOTH]

Un attaquant peut provoquer un buffer overflow dans HtmlConverter, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:2/4]
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cet avis de vulnérabilité informatique concerne les logiciels ou systèmes comme Brocade Network Advisor, Brocade vTM, Debian, Avamar, BIG-IP Hardware, TMOS, Fedora, AIX, Domino par IBM, Notes par IBM, SPSS Modeler, Tivoli System Automation, WebSphere AS Traditional, WebSphere MQ, JAXP, ePO, SnapManager, Java OpenJDK, openSUSE, openSUSE Leap, Java Oracle, Puppet, RHEL, SUSE Linux Enterprise Desktop, SLES, Synology DS***, Synology RS***, Ubuntu.

Notre équipe Vigil@nce a déterminé que la gravité de cette menace informatique est important.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de document.

Ce bulletin concerne 9 vulnérabilités.

Un démonstrateur ou un outil d'attaque est disponible, donc vos équipes doivent traiter cette alerte. Un attaquant avec un niveau de compétence technicien peut exploiter cette menace cybersécurité.

Solutions pour cette menace 

Oracle Java, OpenJDK : version 8u71.
La version 8u71 est corrigée :
  http://www.oracle.com/technetwork/java/javase/downloads/index.html
  http://www.oracle.com/technetwork/java/javase/documentation/8u-relnotes-2225394.html

Oracle Java, OpenJDK : version 1.7.0_95.
La version 1.7.0_95 est corrigée :
  http://www.oracle.com/technetwork/indexes/downloads/index.html
  http://www.oracle.com/technetwork/java/javase/7u-relnotes-515228.html
  http://www.oracle.com/technetwork/java/javase/documentation/javase7supportreleasenotes-1601161.html

Oracle Java, OpenJDK : version 6u111.
La version 6u111 est corrigée :
  http://www.oracle.com/technetwork/indexes/downloads/index.html
  http://www.oracle.com/technetwork/java/javase/documentation/overview-156328.html

AIX : versions corrigées pour IBM Java.
Les versions corrigées sont indiquées dans les sources d'information.

Brocade : solution pour multiples vulnérabilités (04/04/2016).
Les versions suivantes corrigent plusieurs vulnérabilités (mais pas CVE-2016-0705) :
  Brocade Network Advisor : installer version 12.4.2 ou 14.0.1.
  Brocade vTM : installer version 9.9r1 ou 10.3r1.
La solution détaillée est indiquée dans les sources d'information.

Debian : nouveaux paquetages openjdk-6.
De nouveaux paquetages sont disponibles :
  Debian 7 : openjdk-6 6b38-1.13.10-1~deb7u1

Debian : nouveaux paquetages openjdk-7.
De nouveaux paquetages sont disponibles :
  Debian 7 : openjdk-7 7u95-2.6.4-1~deb7u1
  Debian 8 : openjdk-7 7u95-2.6.4-1~deb8u1

EMC Avamar : solution pour JRE.
La solution est indiquée dans les sources d'information.

F5 BIG-IP : solution pour Java.
La solution est indiquée dans les sources d'information.

Fedora : nouveaux paquetages java-1.8.0-openjdk.
De nouveaux paquetages sont disponibles :
  Fedora 23 : java-1.8.0-openjdk 1.8.0.71-1.b15.fc23
  Fedora 22 : java-1.8.0-openjdk 1.8.0.71-1.b15.fc22

IBM Domino, Notes : patch pour Java.
Un patch est disponible :
  Pour la version 9.0.1 Fix Pack 5 : http://www.ibm.com/support/docview.wss?uid=swg21657963
  Pour la version 8.5.3 Fix Pack 6 : http://www-01.ibm.com/support/docview.wss?uid=swg21663874

IBM Notes : patch pour libpng.
Un patch est indiqué dans les sources d'information.

IBM SPSS Modeler : patch pour Java.
Un patch est indiqué dans les sources d'information.

IBM TADDM : solution pour Java.
La solution est indiquée dans les sources d'information.

IBM Tivoli System Automation : patch pour IBM Java.
Un patch est indiqué dans les sources d'information.

IBM WebSphere Application Server : patch pour Java.
Un patch est indiqué dans les sources d'information, en fonction de la version installée de WebSphere.

IBM WebSphere MQ : solution pour Java.
La solution est indiquée dans les sources d'information.

IBM WebSphere MQ : version 8.0.0.5.
La version 8.0.0.5 est corrigée.

McAfee ePolicy Orchestrator : patch pour Java, libpng.
Un patch est disponible :
  http://www.mcafee.com/us/downloads/downloads.aspx
  Pour ePO 5.1.3 : EPO5xHF1117371.zip
  Pour ePO 5.3.1 : EPO5xHF1117371.zip

NetApp SnapManager : patch pour Java.
Un patch est disponible :
  SnapManager for Oracle : https://mysupport.netapp.com/NOW/cgi-bin/bol?Type=Detail&Display=980939
  SnapManager for SAP : https://mysupport.netapp.com/NOW/cgi-bin/bol?Type=Detail&Display=980940

openSUSE 13.2 : nouveaux paquetages java-1_8_0-openjdk.
De nouveaux paquetages sont disponibles :
  openSUSE 13.2 : java-1_8_0-openjdk 1.8.0.72-21.1

openSUSE 13 : nouveaux paquetages java-1_7_0-openjdk.
De nouveaux paquetages sont disponibles :
  openSUSE 13.1 : java-1_7_0-openjdk 1.7.0.95-24.27.1
  openSUSE 13.2 : java-1_7_0-openjdk 1.7.0.95-16.1

openSUSE Leap 42.1 : nouveaux paquetages java-1_7_0-openjdk.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 42.1 : java-1_7_0-openjdk 1.7.0.95-25.1

openSUSE Leap 42.1 : nouveaux paquetages java-1_8_0-openjdk.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 42.1 : java-1_8_0-openjdk 1.8.0.72-6.1

Puppet Labs Puppet Enterprise : version 2015.3.2.
La version 2015.3.2 est corrigée.

Puppet Labs Puppet Enterprise : version 3.8.4.
La version 3.8.4 est corrigée.

RHEL : nouveaux paquetages java-1.6.0-ibm.
De nouveaux paquetages sont disponibles :
  RHEL 5 : java-1.6.0-ibm 1.6.0.16.20-1jpp.1.el5
  RHEL 6 : java-1.6.0-ibm 1.6.0.16.20-1jpp.1.el6_7

RHEL : nouveaux paquetages java-1.6.0-openjdk.
De nouveaux paquetages sont disponibles :
  RHEL 5 : java-1.6.0-openjdk 1.6.0.38-1.13.10.0.el5_11
  RHEL 6 : java-1.6.0-openjdk 1.6.0.38-1.13.10.0.el6_7
  RHEL 7 : java-1.6.0-openjdk 1.6.0.38-1.13.10.0.el7_2

RHEL : nouveaux paquetages java-1.6.0-sun.
De nouveaux paquetages sont disponibles :
  RHEL 5 : java-1.6.0-sun 1.6.0.111-1jpp.3.el5_11
  RHEL 6 : java-1.6.0-sun 1.6.0.111-1jpp.3.el6_7
  RHEL 7 : java-1.6.0-sun 1.6.0.111-1jpp.1.el7

RHEL : nouveaux paquetages java-1.7.0-openjdk.
De nouveaux paquetages sont disponibles :
  RHEL 5 : java-1.7.0-openjdk 1.7.0.95-2.6.4.1.el5_11
  RHEL 6 : java-1.7.0-openjdk 1.7.0.95-2.6.4.0.el6_7
  RHEL 7 : java-1.7.0-openjdk 1.7.0.95-2.6.4.0.el7_2

RHEL : nouveaux paquetages java-1.7.0-oracle.
De nouveaux paquetages sont disponibles :
  RHEL 5 : java-1.7.0-oracle 1.7.0.95-1jpp.1.el5_11
  RHEL 6 : java-1.7.0-oracle 1.7.0.95-1jpp.1.el6_7
  RHEL 7 : java-1.7.0-oracle 1.7.0.95-1jpp.2.el7

RHEL : nouveaux paquetages java-1.7.x-ibm.
De nouveaux paquetages sont disponibles :
  RHEL 6 : java-1.7.1-ibm 1.7.1.3.30-1jpp.2.el6_7
  RHEL 5 : java-1.7.0-ibm 1.7.0.9.30-1jpp.1.el5

RHEL : nouveaux paquetages java-1.8.0-ibm.
De nouveaux paquetages sont disponibles :
  RHEL 7 : java-1.8.0-ibm 1.8.0.2.10-1jpp.1.el7

RHEL : nouveaux paquetages java-1.8.0-openjdk.
De nouveaux paquetages sont disponibles :
  RHEL 7 : java-1.8.0-openjdk 1.8.0.71-2.b15.el7_2
  RHEL 6 : java-1.8.0-openjdk 1.8.0.71-1.b15.el6_7

RHEL : nouveaux paquetages java-1.8.0-oracle.
De nouveaux paquetages sont disponibles :
  RHEL 6 : java-1.8.0-oracle 1.8.0.71-1jpp.1.el6_7
  RHEL 7 : java-1.8.0-oracle 1.8.0.71-1jpp.1.el7

SUSE LE 10 SP4 : nouveaux paquetages java-1_6_0-ibm.
De nouveaux paquetages sont disponibles :
  SUSE LE 10 SP4 : java-1_6_0-ibm 1.6.0_sr16.20-0.8.1

SUSE LE 11 SP3 : nouveaux paquetages java-1_7_0-ibm.
De nouveaux paquetages sont disponibles :
  SUSE LE 11 SP3 : java-1_7_0-ibm 1.7.0_sr9.30-47.1

SUSE LE 12 : nouveaux paquetages java-1_8_0-openjdk.
De nouveaux paquetages sont disponibles :
  SUSE LE 12 SP1 : java-1_8_0-openjdk 1.8.0.72-3.2

SUSE LE : nouveaux paquetages java-1_6_0-ibm.
De nouveaux paquetages sont disponibles :
  SUSE LE 11 SP2 : java-1_6_0-ibm 1.6.0_sr16.20-49.1
  SUSE LE 11 SP3 : java-1_6_0-ibm 1.6.0_sr16.20-51.1
  SUSE LE 12 RTM : java-1_6_0-ibm 1.6.0_sr16.20-30.1

SUSE LE : nouveaux paquetages java-1_7_0-ibm.
De nouveaux paquetages sont disponibles :
  SUSE LE 11 SP2 : java-1_7_0-ibm 1.7.0_sr9.30-45.1

SUSE LE : nouveaux paquetages java-1_7_0-openjdk (28/01/2016).
De nouveaux paquetages sont disponibles :
  SUSE LE 12 SP1 : java-1_7_0-openjdk 1.7.0.95-24.2
  SUSE LE 12 RTM : java-1_7_0-openjdk 1.7.0.95-24.2
  SUSE LE 11 SP4 : java-1_7_0-openjdk 1.7.0.95-0.17.2
  SUSE LE 11 SP3 : java-1_7_0-openjdk 1.7.0.95-0.17.2

SUSE LE : nouveaux paquetages java-1_7_1-ibm.
De nouveaux paquetages sont disponibles :
  SUSE LE 11 SP4 : java-1_7_1-ibm 1.7.1_sr3.30-9.1
  SUSE LE 12 RTM : java-1_7_1-ibm 1.7.1_sr3.30-21.1
  SUSE LE 12 SP1 : java-1_7_1-ibm 1.7.1_sr3.30-21.1

SUSE LE : nouveaux paquetages java-1_8_0-ibm.
De nouveaux paquetages sont disponibles :
  SUSE LE 12 SP1 : java-1_8_0-ibm 1.8.0_sr2.10-7.1

Synology DS, RS : version 5.2-5644 Update 3.
La version 5.2-5644 Update 3 est corrigée :
  https://www.synology.com

Ubuntu : nouveaux paquetages openjdk-6.
De nouveaux paquetages sont disponibles :
  Ubuntu 12.04 LTS : openjdk-6-jre 6b38-1.13.10-0ubuntu0.12.04.1

Ubuntu : nouveaux paquetages openjdk-7.
De nouveaux paquetages sont disponibles :
  Ubuntu 15.10 : openjdk-7-jre 7u95-2.6.4-0ubuntu0.15.10.1
  Ubuntu 15.04 : openjdk-7-jre 7u95-2.6.4-0ubuntu0.15.04.1
  Ubuntu 14.04 LTS: openjdk-7-jre 7u95-2.6.4-0ubuntu0.14.04.1
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit un bulletin de vulnérabilité informatique. Chaque administrateur peut personnaliser la liste des produits pour lesquels il souhaite recevoir des alertes de vulnérabilités.