L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de Oracle Java : multiples vulnérabilités de octobre 2015

Synthèse de la vulnérabilité 

Un attaquant peut employer plusieurs vulnérabilités de Oracle Java.
Systèmes impactés : DCFM Enterprise, FabricOS, Brocade Network Advisor, Brocade vTM, Debian, Fedora, AIX, Domino par IBM, Notes par IBM, IRAD, Security Directory Server, Tivoli Directory Server, Tivoli System Automation, Tivoli Workload Scheduler, WebSphere AS Traditional, WebSphere MQ, JAXP, ePO, SnapManager, Java OpenJDK, openSUSE, openSUSE Leap, Java Oracle, JavaFX, Puppet, RHEL, SAS Add-in for Microsoft Office, SAS Analytics Pro, Base SAS Software, SAS BI Server, SAS Enterprise Guide, SAS Management Console, SAS OLAP Server, SAS SAS/ACCESS, SAS SAS/AF, SAS SAS/CONNECT, SAS SAS/EIS, SAS SAS/ETS, SAS SAS/FSP, SAS SAS/GRAPH, SAS SAS/IML, SAS SAS/OR, SAS SAS/STAT, SAS SAS/Web Report Studio, SUSE Linux Enterprise Desktop, SLES, Ubuntu, Unix (plateforme) ~ non exhaustif.
Gravité de cette alerte : 3/4.
Nombre de vulnérabilités dans ce bulletin : 26.
Date de création : 21/10/2015.
Références de cette alerte : 1969620, 1971361, 1971479, 1973785, 1974831, 1978806, 1981838, 56203, 9010041, 9010044, BSA-2016-002, BSA-2016-004, CERTFR-2015-AVI-439, cpuoct2015, CVE-2015-4734, CVE-2015-4803, CVE-2015-4805, CVE-2015-4806, CVE-2015-4810, CVE-2015-4835, CVE-2015-4840, CVE-2015-4842, CVE-2015-4843, CVE-2015-4844, CVE-2015-4860, CVE-2015-4868, CVE-2015-4871, CVE-2015-4872, CVE-2015-4881, CVE-2015-4882, CVE-2015-4883, CVE-2015-4893, CVE-2015-4901, CVE-2015-4902, CVE-2015-4903, CVE-2015-4906, CVE-2015-4908, CVE-2015-4911, CVE-2015-4916, DSA-3381-1, DSA-3381-2, DSA-3401-1, FEDORA-2015-27cfe187b5, FEDORA-2015-ce54f85a3e, NTAP-20150715-0001, NTAP-20151028-0001, openSUSE-SU-2015:1902-1, openSUSE-SU-2015:1905-1, openSUSE-SU-2015:1906-1, openSUSE-SU-2015:1971-1, openSUSE-SU-2016:0268-1, openSUSE-SU-2016:0270-1, openSUSE-SU-2016:0272-1, openSUSE-SU-2016:0279-1, RHSA-2015:1919-01, RHSA-2015:1920-01, RHSA-2015:1921-01, RHSA-2015:1926-01, RHSA-2015:1927-01, RHSA-2015:1928-01, RHSA-2015:2086-01, RHSA-2015:2506-01, RHSA-2015:2507-01, RHSA-2015:2508-01, RHSA-2015:2509-01, RHSA-2015:2518-01, SB10141, SUSE-SU-2015:1874-2, SUSE-SU-2015:1875-2, SUSE-SU-2015:2166-1, SUSE-SU-2015:2168-1, SUSE-SU-2015:2168-2, SUSE-SU-2015:2182-1, SUSE-SU-2015:2192-1, SUSE-SU-2015:2216-1, SUSE-SU-2015:2268-1, SUSE-SU-2016:0113-1, SUSE-SU-2016:0265-1, SUSE-SU-2016:0269-1, USN-2784-1, USN-2818-1, USN-2827-1, VIGILANCE-VUL-18149.

Description de la vulnérabilité 

Plusieurs vulnérabilités ont été annoncées dans Oracle Java.

Un attaquant peut employer une vulnérabilité de CORBA, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-4835]

Un attaquant peut employer une vulnérabilité de CORBA, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-4881]

Un attaquant peut employer une vulnérabilité de Libraries, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-4843]

Un attaquant peut employer une vulnérabilité de RMI, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-4883]

Un attaquant peut employer une vulnérabilité de RMI, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-4860]

Un attaquant peut employer une vulnérabilité de Serialization, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-4805]

Un attaquant peut employer une vulnérabilité de 2D, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service (VIGILANCE-VUL-21214). [grav:3/4; CVE-2015-4844]

Un attaquant peut employer une vulnérabilité de JavaFX, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-4901]

Un attaquant peut employer une vulnérabilité de Libraries, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-4868]

Un attaquant peut employer une vulnérabilité de Libraries, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-4868]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:2/4; CVE-2015-4810]

Un attaquant peut employer une vulnérabilité de Libraries, afin d'obtenir ou d'altérer des informations. [grav:2/4; CVE-2015-4806]

Un attaquant peut employer une vulnérabilité de Libraries, afin d'obtenir ou d'altérer des informations. [grav:2/4; CVE-2015-4871]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'altérer des informations. [grav:2/4; CVE-2015-4902]

Un attaquant peut employer une vulnérabilité de 2D, afin d'obtenir des informations. [grav:2/4; CVE-2015-4840]

Un attaquant peut employer une vulnérabilité de CORBA, afin de mener un déni de service. [grav:2/4; CVE-2015-4882]

Un attaquant peut employer une vulnérabilité de JAXP, afin d'obtenir des informations. [grav:2/4; CVE-2015-4842]

Un attaquant peut employer une vulnérabilité de JGSS, afin d'obtenir des informations. [grav:2/4; CVE-2015-4734]

Un attaquant peut employer une vulnérabilité de RMI, afin d'obtenir des informations. [grav:2/4; CVE-2015-4903]

Un attaquant peut employer une vulnérabilité de JAXP, afin de mener un déni de service. [grav:2/4; CVE-2015-4803]

Un attaquant peut employer une vulnérabilité de JAXP, afin de mener un déni de service. [grav:2/4; CVE-2015-4893]

Un attaquant peut employer une vulnérabilité de JAXP, afin de mener un déni de service. [grav:2/4; CVE-2015-4911]

Un attaquant peut employer une vulnérabilité de Security, afin d'altérer des informations. [grav:2/4; CVE-2015-4872]

Un attaquant peut employer une vulnérabilité de JavaFX, afin d'obtenir des informations. [grav:2/4; CVE-2015-4906]

Un attaquant peut employer une vulnérabilité de JavaFX, afin d'obtenir des informations. [grav:2/4; CVE-2015-4916]

Un attaquant peut employer une vulnérabilité de JavaFX, afin d'obtenir des informations. [grav:2/4; CVE-2015-4908]
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette annonce de menace informatique concerne les logiciels ou systèmes comme DCFM Enterprise, FabricOS, Brocade Network Advisor, Brocade vTM, Debian, Fedora, AIX, Domino par IBM, Notes par IBM, IRAD, Security Directory Server, Tivoli Directory Server, Tivoli System Automation, Tivoli Workload Scheduler, WebSphere AS Traditional, WebSphere MQ, JAXP, ePO, SnapManager, Java OpenJDK, openSUSE, openSUSE Leap, Java Oracle, JavaFX, Puppet, RHEL, SAS Add-in for Microsoft Office, SAS Analytics Pro, Base SAS Software, SAS BI Server, SAS Enterprise Guide, SAS Management Console, SAS OLAP Server, SAS SAS/ACCESS, SAS SAS/AF, SAS SAS/CONNECT, SAS SAS/EIS, SAS SAS/ETS, SAS SAS/FSP, SAS SAS/GRAPH, SAS SAS/IML, SAS SAS/OR, SAS SAS/STAT, SAS SAS/Web Report Studio, SUSE Linux Enterprise Desktop, SLES, Ubuntu, Unix (plateforme) ~ non exhaustif.

Notre équipe Vigil@nce a déterminé que la gravité de cet avis de menace informatique est important.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de document.

Ce bulletin concerne 26 vulnérabilités.

Un attaquant avec un niveau de compétence expert peut exploiter cette alerte de vulnérabilité informatique.

Solutions pour cette menace 

Oracle Java, OpenJDK : version 8u65.
La version 8u65 est corrigée :
  http://www.oracle.com/technetwork/java/javase/downloads/index.html
  http://www.oracle.com/technetwork/java/javase/documentation/8u-relnotes-2225394.html

Oracle Java, OpenJDK : version 7u91.
La version 7u91 est corrigée :
  http://www.oracle.com/technetwork/indexes/downloads/index.html
  http://www.oracle.com/technetwork/java/javase/7u-relnotes-515228.html

Oracle Java, OpenJDK : version 6u105.
La version 6u105 est corrigée :
  http://www.oracle.com/technetwork/indexes/downloads/index.html
  http://www.oracle.com/technetwork/java/javase/documentation/overview-156328.html

AIX : versions corrigées pour Java.
Les versions corrigées sont indiquées dans les sources d'information.

Brocade : solution.
La solution est indiquée dans les sources d'information.

Brocade : solution pour multiples vulnérabilités (04/04/2016).
Les versions suivantes corrigent plusieurs vulnérabilités (mais pas CVE-2016-0705) :
  Brocade Network Advisor : installer version 12.4.2 ou 14.0.1.
  Brocade vTM : installer version 9.9r1 ou 10.3r1.
La solution détaillée est indiquée dans les sources d'information.

Debian : nouveaux paquetages openjdk-7 (02/11/2015).
De nouveaux paquetages sont disponibles :
  Debian 7 : openjdk-7 7u85-2.6.1-6~deb7u1
  Debian 8 : openjdk-7 7u85-2.6.1-6~deb8u1

Debian : nouveaux paquetages openjdk-7 (23/11/2015).
De nouveaux paquetages sont disponibles :
  Debian 7 : openjdk-7 7u91-2.6.3-1~deb7u1
  Debian 8 : openjdk-7 7u91-2.6.3-1~deb8u1

Fedora : nouveaux paquetages java-1.8.0-openjdk.
De nouveaux paquetages sont disponibles :
  Fedora 21 : java-1.8.0-openjdk 1.8.0.65-3.b17.fc21
  Fedora 22 : java-1.8.0-openjdk 1.8.0.65-3.b17.fc22

IBM Domino, Notes : solution pour Java.
La solution est indiquée dans les sources d'information.

IBM Rational Application Developer for WebSphere : patch pour IBM Java SDK.
Un patch est indiqué dans les sources d'information.

IBM Security Directory Server : versions corrigées pour Java.
Les versions corrigées sont indiquées dans les sources d'information.

IBM Tivoli System Automation : patch pour IBM Java.
Le patch applicable selon la version installée est indiqué dans les sources d'information.

IBM Tivoli Workload Scheduler : patch pour Java.
Un patch est indiqué dans les sources d'information.

IBM WebSphere MQ : patch pour Java.
Un patch est indiqué dans les sources d'information.

IcedTea : version 1.13.9.
La version 1.13.9 est corrigée :
  http://icedtea.classpath.org/download/source/icedtea6-1.13.9.tar.gz

IcedTea : version 2.6.3.
La version 2.6.3 est corrigée :
  http://icedtea.classpath.org/download/source/icedtea-2.6.3.tar.gz

McAfee ePO : patch pour Java.
Un patch est disponible :
  EPO5xHF1102635.zip

NetApp SnapManager : patch pour Oracle Java.
Un patch est disponible :
  SnapManager for Oracle : http://mysupport.netapp.com/NOW/cgi-bin/bol?Type=Detail&Display=959904
  SnapManager for SAP : http://mysupport.netapp.com/NOW/cgi-bin/bol?Type=Detail&Display=959905

NetApp SnapManager : solution pour Java.
La solution est indiquée dans les sources d'information.

openSUSE 13.1 : nouveaux paquetages java-1_7_0-openjdk.
De nouveaux paquetages sont disponibles :
  openSUSE 13.1 : java-1_7_0-openjdk 1.7.0.91-24.24.1

openSUSE 13.2, Leap : nouveaux paquetages java-1_7_0-openjdk.
De nouveaux paquetages sont disponibles :
  openSUSE 13.2 : java-1_7_0-openjdk 1.7.0.91-13.1
  openSUSE Leap 42.1 : java-1_7_0-openjdk 1.7.0.91-22.1

openSUSE 13.2 : nouveaux paquetages java-1_8_0-openjdk.
De nouveaux paquetages sont disponibles :
  openSUSE 13.2 : java-1_8_0-openjdk 1.8.0.65-18.1

openSUSE 13 : nouveaux paquetages java-1_7_0-openjdk.
De nouveaux paquetages sont disponibles :
  openSUSE 13.1 : java-1_7_0-openjdk 1.7.0.95-24.27.1
  openSUSE 13.2 : java-1_7_0-openjdk 1.7.0.95-16.1

openSUSE Leap 42.1 : nouveaux paquetages java-1_7_0-openjdk.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 42.1 : java-1_7_0-openjdk 1.7.0.95-25.1

openSUSE Leap 42.1 : nouveaux paquetages java-1_8_0-openjdk.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 42.1 : java-1_8_0-openjdk 1.8.0.72-6.1

Puppet Enterprise : version 2015.2.3.
La version 2015.2.3 est corrigée :
  https://puppetlabs.com/

Puppet Enterprise : version 3.8.3.
La version 3.8.3 est corrigée :
  https://puppetlabs.com/

RHEL 6, 7 : nouveaux paquetages java-1.8.0-openjdk.
De nouveaux paquetages sont disponibles :
  RHEL 6 : java-1.8.0-openjdk 1.8.0.65-0.b17.el6_7
  RHEL 7 : java-1.8.0-openjdk 1.8.0.65-2.b17.el7_1

RHEL : nouveaux paquetages java-1.5.0-ibm.
De nouveaux paquetages sont disponibles :
  RHEL 5 : java-1.5.0-ibm 1.5.0.16.14-1jpp.1.el5
  RHEL 6 : java-1.5.0-ibm 1.5.0.16.14-1jpp.1.el6_7

RHEL : nouveaux paquetages java-1.6.0-openjdk.
De nouveaux paquetages sont disponibles :
  RHEL 5 : java-1.6.0-openjdk 1.6.0.37-1.13.9.4.el5_11
  RHEL 6 : java-1.6.0-openjdk 1.6.0.37-1.13.9.4.el6_7
  RHEL 7 : java-1.6.0-openjdk 1.6.0.37-1.13.9.4.el7_1

RHEL : nouveaux paquetages java-1.6.0-sun.
De nouveaux paquetages sont disponibles :
  RHEL 5 : java-1.6.0-sun 1.6.0.105-1jpp.2.el5_11
  RHEL 6 : java-1.6.0-sun 1.6.0.105-1jpp.2.el6_7
  RHEL 7 : java-1.6.0-sun 1.6.0.105-1jpp.2.el7_1

RHEL : nouveaux paquetages java-1.7.0-openjdk.
De nouveaux paquetages sont disponibles :
  RHEL 5 : java-1.7.0-openjdk 1.7.0.91-2.6.2.1.el5_11
  RHEL 6 : java-1.7.0-openjdk 1.7.0.91-2.6.2.2.el6_7
  RHEL 7 : java-1.7.0-openjdk 1.7.0.91-2.6.2.1.el7_1

RHEL : nouveaux paquetages java-1.7.0-oracle.
De nouveaux paquetages sont disponibles :
  RHEL 5 : java-1.7.0-oracle 1.7.0.91-1jpp.1.el5_11
  RHEL 6 : java-1.7.0-oracle 1.7.0.91-1jpp.1.el6_7
  RHEL 7 : java-1.7.0-oracle 1.7.0.91-1jpp.1.el7_1

RHEL : nouveaux paquetages java-1.8.0-oracle.
De nouveaux paquetages sont disponibles :
  RHEL 6 : java-1.8.0-oracle 1.8.0.65-1jpp.3.el6_7
  RHEL 6 : java-1.8.0-oracle 1.8.0.65-1jpp.3.el6_7

RHEL : nouveaux paquetages java-1.x.0-ibm.
De nouveaux paquetages sont disponibles :
  RHEL 5 : java-1.6.0-ibm 1.6.0.16.15-1jpp.1.el5, java-1.7.0-ibm 1.7.0.9.20-1jpp.1.el5
  RHEL 6 : java-1.6.0-ibm 1.6.0.16.15-1jpp.1.el6_7, java-1.7.1-ibm 1.7.1.3.20-1jpp.1.el6_7
  RHEL 7 : java-1.7.1-ibm 1.7.1.3.20-1jpp.1.el7, java-1.8.0-ibm 1.8.0.2.0-1jpp.1.el7

SAS : patch pour Java 2015/10.
Un patch est indiqué dans les sources d'information.

SUSE LE 10 : nouveaux paquetages java-1_6_0-ibm.
De nouveaux paquetages sont disponibles :
  SUSE LE 10 SP4 : java-1_6_0-ibm 1.6.0_sr16.15-0.16.1

SUSE LE 11 : nouveaux paquetages java-1_6_0-ibm (02/12/2015).
De nouveaux paquetages sont disponibles :
  SUSE LE 11 SP2 : java-1_6_0-ibm 1.6.0_sr16.15-46.1
  SUSE LE 11 SP3 : java-1_6_0-ibm 1.6.0_sr16.15-46.1

SUSE LE 11 : nouveaux paquetages java-1_7_0-ibm.
De nouveaux paquetages sont disponibles :
  SUSE LE 11 SP2 : java-1_7_0-ibm 1.7.0_sr9.20-42.1
  SUSE LE 11 SP3 : java-1_7_0-ibm 1.7.0_sr9.20-42.1

SUSE LE 12 : nouveaux paquetages java-1_7_1-ibm.
De nouveaux paquetages sont disponibles :
  SUSE LE 12 RTM : java-1_7_1-ibm 1.7.1_sr3.20-17.1

SUSE LE 12 SP1 : nouveaux paquetages java-1_7_1-ibm.
De nouveaux paquetages sont disponibles :
  SUSE LE 12 SP1 : java-1_7_1-ibm 1.7.1_sr3.20-18.1

SUSE LE 12 SP1 : nouveaux paquetages java-1_8_0-ibm.
De nouveaux paquetages sont disponibles :
  SUSE LE 12 SP1 : java-1_8_0-ibm 1.8.0_sr2.0-4.1

SUSE LE : nouveaux paquetages java-1_7_0-openjdk (03/11/2015).
De nouveaux paquetages sont disponibles :
  SUSE LE 11 SP3 : java-1_7_0-openjdk 1.7.0.91-0.14.2
  SUSE LE 11 SP4 : java-1_7_0-openjdk 1.7.0.91-0.14.2
  SUSE LE 12 RTM : java-1_7_0-openjdk 1.7.0.91-21.2

SUSE LE : nouveaux paquetages java-1_7_0-openjdk (28/01/2016).
De nouveaux paquetages sont disponibles :
  SUSE LE 12 SP1 : java-1_7_0-openjdk 1.7.0.95-24.2
  SUSE LE 12 RTM : java-1_7_0-openjdk 1.7.0.95-24.2
  SUSE LE 11 SP4 : java-1_7_0-openjdk 1.7.0.95-0.17.2
  SUSE LE 11 SP3 : java-1_7_0-openjdk 1.7.0.95-0.17.2

Ubuntu 12.04 : nouveaux paquetages openjdk-6-jre.
De nouveaux paquetages sont disponibles :
  Ubuntu 12.04 LTS : icedtea-6-jre 6b37-1.13.9-1ubuntu0.12.04.1

Ubuntu : nouveaux paquetages openjdk-7-jre (26/11/2015).
De nouveaux paquetages sont disponibles :
  Ubuntu 15.10 : openjdk-7-jre 7u91-2.6.3-0ubuntu0.15.10.1
  Ubuntu 15.04 : openjdk-7-jre 7u91-2.6.3-0ubuntu0.15.04.1
  Ubuntu 14.04 LTS : openjdk-7-jre 7u91-2.6.3-0ubuntu0.14.04.1

Ubuntu : nouveaux paquetages openjdk-7-jre (28/10/2015).
De nouveaux paquetages sont disponibles :
  Ubuntu 15.10 : openjdk-7-jre 7u85-2.6.1-5ubuntu0.15.10.1
  Ubuntu 15.04 : openjdk-7-jre 7u85-2.6.1-5ubuntu0.15.04.1
  Ubuntu 14.04 LTS : openjdk-7-jre 7u85-2.6.1-5ubuntu0.14.04.1

WebSphere AS : versions corrigées pour Java.
Les versions corrigées sont indiquées dans les sources d'information.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit une alerte cyber-sécurité. L'équipe Vigil@nce surveille les vulnérabilités informatiques de systèmes et d'applications.