L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de zlib : cinq vulnérabilités

Synthèse de la vulnérabilité 

Un attaquant peut employer plusieurs vulnérabilités de zlib.
Logiciels impactés : iOS par Apple, iPhone, Mac OS X, Debian, VNX Operating Environment, VNX Series, Fedora, AIX, Db2 UDB, Domino par IBM, MQSeries, Notes par IBM, Security Directory Server, SPSS Statistics, Kubernetes, MariaDB ~ précis, MySQL Community, MySQL Enterprise, Java OpenJDK, openSUSE, openSUSE Leap, Oracle DB, Java Oracle, Oracle OIT, Solaris, Percona Server, Python, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Nessus, Ubuntu, zlib.
Gravité de cette vulnérabilité informatique : 2/4.
Nombre de vulnérabilités dans ce bulletin : 5.
Date de création : 05/12/2016.
Références de cette annonce : 1997877, 2001520, 2003212, 2004735, 2005160, 2005255, 2006014, 2006017, 2007242, 2010282, 2011648, 2014202, APPLE-SA-2017-09-19-1, APPLE-SA-2017-09-25-1, APPLE-SA-2017-09-25-4, bulletinapr2017, bulletinoct2018, CERTFR-2018-AVI-288, cpujul2018, cpujul2020, cpuoct2017, cpuoct2018, CVE-2016-9840, CVE-2016-9841, CVE-2016-9842, CVE-2016-9843, DLA-1725-1, DLA-2085-1, DSA-2020-030, DSA-2020-289, FEDORA-2018-242f6c1a41, FEDORA-2018-55b875c1ac, HT208144, ibm10718843, openSUSE-SU-2016:3202-1, openSUSE-SU-2017:0077-1, openSUSE-SU-2017:0080-1, openSUSE-SU-2017:2998-1, openSUSE-SU-2018:0042-1, openSUSE-SU-2018:3478-1, openSUSE-SU-2019:0327-1, RHSA-2017:1220-01, RHSA-2017:1221-01, RHSA-2017:1222-01, RHSA-2017:2999-01, RHSA-2017:3046-01, RHSA-2017:3047-01, SSA:2018-309-01, SUSE-SU-2017:1384-1, SUSE-SU-2017:1386-1, SUSE-SU-2017:1387-1, SUSE-SU-2017:1444-1, SUSE-SU-2017:2989-1, SUSE-SU-2017:3369-1, SUSE-SU-2017:3411-1, SUSE-SU-2017:3440-1, SUSE-SU-2017:3455-1, SUSE-SU-2018:0005-1, SUSE-SU-2018:3542-1, SUSE-SU-2018:3972-1, SUSE-SU-2018:4211-1, SUSE-SU-2019:0119-1, SUSE-SU-2019:0555-1, SUSE-SU-2019:2048-1, TNS-2018-08, USN-4246-1, USN-4292-1, VIGILANCE-VUL-21262.

Description de la vulnérabilité 

Plusieurs vulnérabilités ont été annoncées dans zlib.

Un attaquant peut provoquer une corruption de mémoire via Deflate External Linkage, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:2/4]

Une erreur de pointeur pourrait avoir une conséquence. [grav:1/4]

Un attaquant peut forcer la lecture à une adresse invalide via inftrees.c, afin de mener un déni de service, ou d'obtenir des informations sensibles. [grav:1/4; CVE-2016-9840, CVE-2016-9841]

Un décalage de nombre négatif n'est pas défini. [grav:1/4; CVE-2016-9842]

Un attaquant peut forcer la lecture à une adresse invalide via Big-endian Pointer, afin de mener un déni de service, ou d'obtenir des informations sensibles. [grav:1/4; CVE-2016-9843]
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Ce bulletin de vulnérabilité concerne les logiciels ou systèmes comme iOS par Apple, iPhone, Mac OS X, Debian, VNX Operating Environment, VNX Series, Fedora, AIX, Db2 UDB, Domino par IBM, MQSeries, Notes par IBM, Security Directory Server, SPSS Statistics, Kubernetes, MariaDB ~ précis, MySQL Community, MySQL Enterprise, Java OpenJDK, openSUSE, openSUSE Leap, Oracle DB, Java Oracle, Oracle OIT, Solaris, Percona Server, Python, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Nessus, Ubuntu, zlib.

Notre équipe Vigil@nce a déterminé que la gravité de cette alerte cyber-sécurité est moyen.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de document.

Ce bulletin concerne 5 vulnérabilités.

Un attaquant avec un niveau de compétence expert peut exploiter cette annonce cybersécurité.

Solutions pour cette menace 

zlib : patch.
Cinq patches sont disponibles :
  https://github.com/madler/zlib/commit/3fb251b363866417122fe54a158a1ac5a7837101
  https://github.com/madler/zlib/commit/6a043145ca6e9c55184013841a67b2fef87e44c0
  https://github.com/madler/zlib/commit/9aaec95e82117c1cb0f9624264c3618fc380cecb
  https://github.com/madler/zlib/commit/e54e1299404101a5a9d0cf5e45512b543967f958
  https://github.com/madler/zlib/commit/d1d577490c15a0c6862473d7576352a9f18ef811

AIX : solution pour Java.
La solution est indiquée dans les sources d'information.

Apple iOS : version 11.
La version 11 est corrigée :
  https://www.apple.com/itunes/

Apple macOS : version 10.13.
La version 10.13 est corrigée :
  https://www.apple.com/support/downloads/

Debian 8 : nouveaux paquetages rsync.
De nouveaux paquetages sont disponibles :
  Debian 8 : rsync 3.1.1-3+deb8u2

Debian 8 : nouveaux paquetages zlib.
De nouveaux paquetages sont disponibles :
  Debian 8 : zlib 1:1.2.8.dfsg-2+deb8u1

Dell EMC VNXe3200 : version 3.1.11.10003441.
La version 3.1.11.10003441 est corrigée :
  https://www.dell.com/support/

Fedora 28 : nouveaux paquetages mariadb.
De nouveaux paquetages sont disponibles :
  Fedora 28 : mariadb 10.2.19-1.fc28

Fedora 29 : nouveaux paquetages mariadb.
De nouveaux paquetages sont disponibles :
  Fedora 29 : mariadb 10.3.11-1.fc29

IBM BigFix Platform : solution pour Multiple Vulnerabilities.
La solution est indiquée dans les sources d'information.

IBM BigFix Remote Control : solution pour Java.
La solution est indiquée dans les sources d'information.

IBM Cognos Analytics : version 11.0.7.0.
La version 11.0.7.0 est corrigée :
  http://www-01.ibm.com/support/docview.wss?uid=swg24043955

IBM Cognos Business Intelligence : solution.
La solution est indiquée dans les sources d'information.

IBM DB2 : patch pour IBM SDK.
Un patch est indiqué dans les sources d'information.

IBM DB2 : patch pour zlib.
Un patch est indiqué dans les sources d'information.

IBM Domino/Notes : solution pour Java.
La solution est indiquée dans les sources d'information.

IBM MQSeries : version 9.0.3.
La version 9.0.3 est corrigée :
  http://www-01.ibm.com/support/docview.wss?uid=swg24043697

IBM Notes : patch pour zlib.
Un patch est indiqué dans les sources d'information.

IBM Security Directory Server : solution pour Java.
La solution est indiquée dans les sources d'information.

IBM SPSS Statistics : solution pour zlib.
La solution est indiquée dans les sources d'information.

Kubernetes : version 1.5.8.
La version 1.5.8 est corrigée :
  https://kubernetes.io/
  https://dl.k8s.io/v1.5.8/kubernetes.tar.gz

Kubernetes : version 1.6.7.
La version 1.6.7 est corrigée :
  https://dl.k8s.io/v1.6.7/kubernetes.tar.gz

MariaDB : version 10.0.37.
La version 10.0.37 est corrigée :
  https://downloads.mariadb.org/mariadb/10.0.37

MariaDB : version 10.1.37.
La version 10.1.37 est corrigée :
  https://downloads.mariadb.org/mariadb/10.1.37

MariaDB : version 10.2.19.
La version 10.2.19 est corrigée :
  https://mariadb.com/

MariaDB : version 10.3.11.
La version 10.3.11 est corrigée :
  https://mariadb.com/

MariaDB : version 5.5.62.
La version 5.5.62 est corrigée :
  https://mariadb.com/

MySQL : version 5.5.62.
La version 5.5.62 est corrigée :
  https://support.oracle.com/rs?type=doc&id=2451036.1
  https://www.mysql.com/fr/

MySQL : version 5.6.42.
La version 5.6.42 est corrigée :
  https://support.oracle.com/rs?type=doc&id=2451036.1
  https://www.mysql.com/fr/

MySQL : version 5.7.24.
La version 5.7.24 est corrigée :
  https://support.oracle.com/rs?type=doc&id=2451036.1
  https://www.mysql.com/fr/

MySQL : version 8.0.13.
La version 8.0.13 est corrigée :
  https://support.oracle.com/rs?type=doc&id=2451036.1
  https://www.mysql.com/fr/

Nessus : version 7.1.1.
La version 7.1.1 est corrigée :
  https://www.tenable.com/downloads/nessus

openSUSE Leap 15.0 : nouveaux paquetages mariadb.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 15.0 : mariadb 10.2.22-lp150.2.9.1

openSUSE Leap 42.3 : nouveaux paquetages mysql-community-server.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 42.3 : mysql-community-server 5.6.42-42.1

openSUSE Leap : nouveaux paquetages java-1_7_0-openjdk.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 42.2 : java-1_7_0-openjdk 1.7.0.161-42.6.1
  openSUSE Leap 42.3 : java-1_7_0-openjdk 1.7.0.161-45.1

openSUSE Leap : nouveaux paquetages java-1_8_0-openjdk.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 42.2 : java-1_8_0-openjdk 1.8.0.151-10.18.2
  openSUSE Leap 42.3 : java-1_8_0-openjdk 1.8.0.151-18.1

openSUSE Leap : nouveaux paquetages zlib.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 42.2 : libz1 1.2.8-10.1
  openSUSE Leap 42.1 : libz1 1.2.8-8.1

openSUSE : nouveaux paquetages zlib.
De nouveaux paquetages sont disponibles :
  openSUSE 13.2 : libz1 1.2.8-5.8.1

Oracle Database : CPU de juillet 2020.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2664876.1

Oracle Java : version 6u171.
La version 6u171 est corrigée :
  http://www.oracle.com/technetwork/indexes/downloads/index.html
  http://www.oracle.com/technetwork/java/javase/documentation/overview-156328.html

Oracle Java : version 7u161.
La version 7u161 est corrigée :
  http://www.oracle.com/technetwork/indexes/downloads/index.html
  http://www.oracle.com/technetwork/java/javase/documentation/javase7supportreleasenotes-1601161.html

Oracle Java : version 8u151.
La version 8u151 est corrigée :
  http://www.oracle.com/technetwork/indexes/downloads/index.html
  http://www.oracle.com/technetwork/java/javase/documentation/8u-relnotes-2225394.html

Oracle Java : version 9.0.1.
La version 9.0.1 est corrigée :
  http://www.oracle.com/technetwork/java/javase/downloads/index.html
  http://www.oracle.com/technetwork/java/javase/documentation/9u-relnotes-3704429.html

Oracle Outside In Technology : CPU de juillet 2018.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2394520.1

Oracle Solaris : patch pour logiciels tiers de avril 2017 v2.
Un patch est disponible :
  https://support.oracle.com/rs?type=doc&id=1448883.1

Oracle Solaris : patch pour logiciels tiers de octobre 2018 v2.
Un patch est disponible :
  https://support.oracle.com/rs?type=doc&id=1448883.1

Oracle Solaris : patch pour logiciels tiers de octobre 2018 v3.
Un patch est disponible :
  https://support.oracle.com/rs?type=doc&id=1448883.1

Percona Server for MySQL : version 5.5.62-38.14.
La version 5.5.62-38.14 est corrigée :
  https://www.percona.com/downloads/Percona-Server-5.5/

Python : version 3.4.8.
La version 3.4.8 est corrigée :
  https://www.python.org/downloads/release/python-348/

RHEL 6.9 : nouveaux paquetages java-1.6.0-ibm.
De nouveaux paquetages sont disponibles :
  RHEL 6 : java-1.6.0-ibm 1.6.0.16.45-1jpp.1.el6_9

RHEL : nouveaux paquetages java-1.6.0-sun.
De nouveaux paquetages sont disponibles :
  RHEL 6 : java-1.6.0-sun 1.6.0.171-1jpp.4.el6
  RHEL 7 : java-1.6.0-sun 1.6.0.171-1jpp.4.el7

RHEL : nouveaux paquetages java-1.7.0-oracle.
De nouveaux paquetages sont disponibles :
  RHEL 6 : java-1.7.0-oracle 1.7.0.161-1jpp.3.el6
  RHEL 7 : java-1.7.0-oracle 1.7.0.161-1jpp.4.el7

RHEL : nouveaux paquetages java-1.7.1-ibm.
De nouveaux paquetages sont disponibles :
  RHEL 6 : java-1.7.1-ibm 1.7.1.4.5-1jpp.2.el6_9
  RHEL 7 : java-1.7.1-ibm 1.7.1.4.5-1jpp.1.el7_3

RHEL : nouveaux paquetages java-1.8.0-ibm.
De nouveaux paquetages sont disponibles :
  RHEL 6 : java-1.8.0-ibm 1.8.0.4.5-1jpp.1.el6_9
  RHEL 7 : java-1.8.0-ibm 1.8.0.4.5-1jpp.1.el7_3

RHEL : nouveaux paquetages java-1.8.0-oracle.
De nouveaux paquetages sont disponibles :
  RHEL 6 : java-1.8.0-oracle 1.8.0.151-1jpp.1.el6
  RHEL 7 : java-1.8.0-oracle 1.8.0.151-1jpp.5.el7

Slackware : nouveaux paquetages mariadb.
De nouveaux paquetages sont disponibles :
  Slackware 14.1 : mariadb 5.5.62-*-1_slack14.1
  Slackware 14.2 : mariadb 10.0.37-*-1_slack14.2

SUSE LE 11 : nouveaux paquetages mysql.
De nouveaux paquetages sont disponibles :
  SUSE LE 11 SP3 : mysql 5.5.62-0.39.18.1

SUSE LE 11 SP3 : nouveaux paquetages java-1_6_0-ibm.
De nouveaux paquetages sont disponibles :
  SUSE LE 11 SP3 : java-1_6_0-ibm 1.6.0_sr16.50-85.5.1

SUSE LE 11 SP3 : nouveaux paquetages java-1_7_0-ibm.
De nouveaux paquetages sont disponibles :
  SUSE LE 11 SP3 : java-1_7_0-ibm 1.7.0_sr10.5-64.1

SUSE LE 11 SP4 : nouveaux paquetages java-1_7_1-ibm (24/05/2017).
De nouveaux paquetages sont disponibles :
  SUSE LE 11 SP4 : java-1_7_1-ibm 1.7.1_sr4.5-25.1

SUSE LE 11 SP4 : nouveaux paquetages java-1_7_1-ibm (28/12/2017).
De nouveaux paquetages sont disponibles :
  SUSE LE 11 SP4 : java-1_7_1-ibm 1.7.1_sr4.15-26.8.1

SUSE LE 12 : nouveaux paquetages java-1_7_0-openjdk.
De nouveaux paquetages sont disponibles :
  SUSE LE 12 RTM : java-1_7_0-openjdk 1.7.0.161-43.7.6
  SUSE LE 12 SP1 : java-1_7_0-openjdk 1.7.0.161-43.7.6
  SUSE LE 12 SP2 : java-1_7_0-openjdk 1.7.0.161-43.7.6
  SUSE LE 12 SP3 : java-1_7_0-openjdk 1.7.0.161-43.7.6

SUSE LE 12 : nouveaux paquetages java-1_7_1-ibm.
De nouveaux paquetages sont disponibles :
  SUSE LE 12 RTM : java-1_7_1-ibm 1.7.1_sr4.15-38.8.1
  SUSE LE 12 SP1 : java-1_7_1-ibm 1.7.1_sr4.15-38.8.1
  SUSE LE 12 SP2 : java-1_7_1-ibm 1.7.1_sr4.15-38.8.1
  SUSE LE 12 SP3 : java-1_7_1-ibm 1.7.1_sr4.15-38.8.1

SUSE LE 12 : nouveaux paquetages java-1_8_0-ibm (24/05/2017).
De nouveaux paquetages sont disponibles :
  SUSE LE 12 SP1 : java-1_8_0-ibm 1.8.0_sr4.5-29.1
  SUSE LE 12 SP2 : java-1_8_0-ibm 1.8.0_sr4.5-29.1

SUSE LE 12 : nouveaux paquetages java-1_8_0-ibm (28/12/2017).
De nouveaux paquetages sont disponibles :
  SUSE LE 12 SP3 : java-1_8_0-ibm 1.8.0_sr5.5-30.13.1
  SUSE LE 12 SP2 : java-1_8_0-ibm 1.8.0_sr5.5-30.13.1
  SUSE LE 12 SP1 : java-1_8_0-ibm 1.8.0_sr5.5-30.13.1

SUSE LE 12 : nouveaux paquetages java-1_8_0-openjdk.
De nouveaux paquetages sont disponibles :
  SUSE LE 12 SP1 : java-1_8_0-openjdk 1.8.0.151-27.8.1
  SUSE LE 12 SP2 : java-1_8_0-openjdk 1.8.0.151-27.8.1
  SUSE LE 12 SP3 : java-1_8_0-openjdk 1.8.0.151-27.8.1

SUSE LE 12 RTM : nouveaux paquetages mariadb.
De nouveaux paquetages sont disponibles :
  SUSE LE 12 RTM : mariadb 10.0.37-20.49.2

SUSE LE 12 SP1/2 : nouveaux paquetages mariadb.
De nouveaux paquetages sont disponibles :
  SUSE LE 12 SP1 : mariadb 10.0.38-29.27.3
  SUSE LE 12 SP2 : mariadb 10.0.38-29.27.3

SUSE LE 12 SP4 : nouveaux paquetages mariadb (18/01/2019).
De nouveaux paquetages sont disponibles :
  SUSE LE 12 SP4 : mariadb 10.2.21-3.7.1

SUSE LE 12 SP4 : nouveaux paquetages mariadb (27/12/2018).
De nouveaux paquetages sont disponibles :
  SUSE LE 12 SP4 : mariadb 100-10.0.37-2.3.1

SUSE LE 15 : nouveaux paquetages mariadb.
De nouveaux paquetages sont disponibles :
  SUSE LE 15 RTM : mariadb 10.2.22-3.14.1

SUSE LE : nouveaux paquetages java-1_6_0-ibm.
De nouveaux paquetages sont disponibles :
  SUSE LE 11 SP3 : java-1_6_0-ibm 1.6.0_sr16.45-84.1

Ubuntu 16.04 : nouveaux paquetages zlib.
De nouveaux paquetages sont disponibles :
  Ubuntu 16.04 LTS : lib32z1 1:1.2.8.dfsg-2ubuntu4.3, lib64z1 1:1.2.8.dfsg-2ubuntu4.3, zlib1g 1:1.2.8.dfsg-2ubuntu4.3

Ubuntu : nouveaux paquetages rsync.
De nouveaux paquetages sont disponibles :
  Ubuntu 18.04 LTS : rsync 3.1.2-2.1ubuntu1.1
  Ubuntu 16.04 LTS : rsync 3.1.1-3ubuntu1.3

VNXe1600 : versions corrigées pour Third-Party Component.
Les versions corrigées sont indiquées dans les sources d'information.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit des alertes de vulnérabilités logicielles. Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information.