L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de HPUX

bulletin de vulnérabilité CVE-2013-6219

HP-UX : accès en écriture avec WLI

Synthèse de la vulnérabilité

Un attaquant local peut contourner les restrictions d'accès de HP-UX Whitelisting, afin de modifier des données.
Produits concernés : HP-UX.
Gravité : 2/4.
Conséquences : création/modification de données, effacement de données.
Provenance : shell utilisateur.
Date création : 22/04/2014.
Références : c04227671, CVE-2013-6219, HPSBUX03001, SSRT101382, VIGILANCE-VUL-14623.

Description de la vulnérabilité

Le produit HP-UX WLI (Whitelisting) peut être installé sur HP-UX pour protéger les systèmes de fichiers.

Cependant, un attaquant peut contourner les restrictions d'accès aux données.

Un attaquant local peut donc contourner les restrictions d'accès de HP-UX Whitelisting, afin de modifier des données.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2013-6629 CVE-2013-6954 CVE-2014-0429

Oracle Java : multiples vulnérabilités d'avril 2014

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Oracle Java.
Produits concernés : Debian, ECC, Fedora, HP-UX, AIX, Domino, Notes, Tivoli System Automation, WebSphere MQ, Junos Space, ePO, Java OpenJDK, openSUSE, Java Oracle, JavaFX, Puppet, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu, Unix (plateforme) ~ non exhaustif, vCenter Server, VMware vSphere.
Gravité : 3/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur, lecture de données, création/modification de données, effacement de données, déni de service du service, déni de service du client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 37.
Date création : 16/04/2014.
Références : 1680562, 1681114, 7014224, BID-64493, c04398922, c04398943, CERTFR-2014-AVI-185, CERTFR-2014-AVI-382, CERTFR-2014-AVI-480, CERTFR-2015-AVI-431, CERTFR-2016-AVI-300, cpuapr2014, CVE-2013-6629, CVE-2013-6954, CVE-2014-0429, CVE-2014-0432, CVE-2014-0446, CVE-2014-0448, CVE-2014-0449, CVE-2014-0451, CVE-2014-0452, CVE-2014-0453, CVE-2014-0454, CVE-2014-0455, CVE-2014-0456, CVE-2014-0457, CVE-2014-0458, CVE-2014-0459, CVE-2014-0460, CVE-2014-0461, CVE-2014-0463, CVE-2014-0464, CVE-2014-1876, CVE-2014-2397, CVE-2014-2398, CVE-2014-2401, CVE-2014-2402, CVE-2014-2403, CVE-2014-2409, CVE-2014-2410, CVE-2014-2412, CVE-2014-2413, CVE-2014-2414, CVE-2014-2420, CVE-2014-2421, CVE-2014-2422, CVE-2014-2423, CVE-2014-2427, CVE-2014-2428, DSA-2912-1, DSA-2923-1, ESA-2014-044, FEDORA-2014-5277, FEDORA-2014-5280, FEDORA-2014-5290, FEDORA-2014-5336, HPSBUX03091, HPSBUX03092, JSA10659, JSA10698, MDVSA-2014:100, openSUSE-SU-2014:1638-1, openSUSE-SU-2014:1645-1, RHSA-2014:0406-01, RHSA-2014:0407-01, RHSA-2014:0408-01, RHSA-2014:0412-01, RHSA-2014:0413-02, RHSA-2014:0414-01, RHSA-2014:0486-01, RHSA-2014:0508-01, RHSA-2014:0509-01, RHSA-2014:0675-01, RHSA-2014:0685-01, RHSA-2014:0982-01, SB10072, SSRT101667, SSRT101668, SUSE-SU-2014:0639-1, SUSE-SU-2014:0728-1, SUSE-SU-2014:0728-2, SUSE-SU-2014:0728-3, SUSE-SU-2014:0733-1, SUSE-SU-2014:0733-2, USN-2187-1, USN-2191-1, VIGILANCE-VUL-14599, VMSA-2014-0008, VU#650142, ZDI-14-102, ZDI-14-103, ZDI-14-104, ZDI-14-105, ZDI-14-114.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Oracle Java.

Un attaquant peut employer une vulnérabilité de 2D, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-0429]

Un attaquant peut employer une vulnérabilité de Libraries ScriptEngineManager, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-0457, ZDI-14-105]

Un attaquant peut employer une vulnérabilité de Hotspot, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-0456, ZDI-14-114]

Un attaquant peut employer une vulnérabilité de 2D, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-2421, ZDI-14-102]

Un attaquant peut employer une vulnérabilité de JavaFX, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-2410]

Un attaquant peut employer une vulnérabilité de Hotspot, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-2397]

Un attaquant peut employer une vulnérabilité de Libraries permuteArguments, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-0432, ZDI-14-104]

Un attaquant peut employer une vulnérabilité de Libraries DropArguments, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-0455, ZDI-14-103]

Un attaquant peut employer une vulnérabilité de Libraries, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-0461]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-0448]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-2428]

Un attaquant peut employer une vulnérabilité de AWT, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-2412]

Un attaquant peut employer une vulnérabilité de AWT, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-0451]

Un attaquant peut employer une vulnérabilité de JAX-WS, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-0458]

Un attaquant peut employer une vulnérabilité de JAX-WS, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-2423]

Un attaquant peut employer une vulnérabilité de JAX-WS, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-0452]

Un attaquant peut employer une vulnérabilité de JAXB, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-2414]

Un attaquant peut employer une vulnérabilité de Libraries, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-2402]

Un attaquant peut employer une vulnérabilité de Libraries, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-0446]

Un attaquant peut employer une vulnérabilité de Security, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-0454]

Un attaquant peut employer une vulnérabilité de Sound, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-2427]

Un attaquant peut employer une vulnérabilité de JavaFX, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-2422]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir ou d'altérer des informations. [grav:2/4; CVE-2014-2409]

Un attaquant peut employer une vulnérabilité de JNDI, afin d'obtenir ou d'altérer des informations. [grav:2/4; CVE-2014-0460]

Un attaquant peut créer une image PNG illicite, pour déréférencer un pointeur NULL dans la fonction png_do_expand_palette() de libpng, afin de mener un déni de service (VIGILANCE-VUL-13989). [grav:2/4; BID-64493, CVE-2013-6954, VU#650142]

Un attaquant peut employer une vulnérabilité de AWT, afin d'obtenir des informations (VIGILANCE-VUL-18980). [grav:2/4; CVE-2013-6629]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations. [grav:2/4; CVE-2014-0449]

Un attaquant peut employer une vulnérabilité de JAXP, afin d'obtenir des informations. [grav:2/4; CVE-2014-2403]

Un attaquant peut employer une vulnérabilité de 2D, afin d'obtenir des informations. [grav:2/4; CVE-2014-2401]

Un attaquant peut employer une vulnérabilité de Scripting, afin d'obtenir des informations. [grav:2/4; CVE-2014-0463]

Un attaquant peut employer une vulnérabilité de Scripting, afin d'obtenir des informations. [grav:2/4; CVE-2014-0464]

Un attaquant peut employer une vulnérabilité de 2D, afin de mener un déni de service. [grav:2/4; CVE-2014-0459]

Un attaquant peut employer une vulnérabilité de Libraries, afin d'altérer des informations. [grav:2/4; CVE-2014-2413]

Un attaquant peut employer une vulnérabilité de Security, afin d'obtenir ou d'altérer des informations. [grav:2/4; CVE-2014-0453]

Un attaquant peut employer une vulnérabilité de Javadoc, afin d'altérer des informations. [grav:1/4; CVE-2014-2398]

Un attaquant local peut créer un lien symbolique nommé /tmp/unpack.log, afin de modifier le fichier pointé, avec les privilèges de unpack200 (VIGILANCE-VUL-14196). [grav:1/4; CVE-2014-1876]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'altérer des informations. [grav:1/4; CVE-2014-2420]
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2013-5704

Apache httpd : contournement de mod_headers unset

Synthèse de la vulnérabilité

Un attaquant peut employer des données HTTP Chunked, afin de contourner la directive "RequestHeader unset" de Apache httpd mod_headers.
Produits concernés : Apache httpd, Apache httpd Modules ~ non exhaustif, BIG-IP Hardware, TMOS, Fedora, HP-UX, WebSphere AS Traditional, openSUSE, Solaris, RHEL, SAS Add-in for Microsoft Office, SAS Analytics Pro, Base SAS Software, SAS Enterprise BI Server, SAS Enterprise Guide, SAS Management Console, SAS OLAP Server, SAS SAS/ACCESS, SAS SAS/AF, SAS SAS/CONNECT, SAS SAS/EIS, SAS SAS/ETS, SAS SAS/FSP, SAS SAS/GRAPH, SAS SAS/IML, SAS SAS/OR, SAS SAS/STAT, SAS SAS/Web Report Studio, Slackware, Ubuntu.
Gravité : 2/4.
Conséquences : transit de données.
Provenance : client internet.
Date création : 01/04/2014.
Références : 1690185, 1695392, 7036319, bulletinjan2015, c04686230, c04832246, CVE-2013-5704, FEDORA-2014-17153, FEDORA-2014-17195, HPSBUX03337, HPSBUX03512, MDVSA-2014:174, openSUSE-SU-2014:1726-1, RHSA-2014:1972-01, RHSA-2015:0325-02, RHSA-2015:1249-02, RHSA-2015:2659-01, RHSA-2015:2660-01, RHSA-2015:2661-01, RHSA-2016:0062-01, SOL16863, SSA:2015-111-03, SSRT102066, SSRT102254, USN-2523-1, VIGILANCE-VUL-14503.

Description de la vulnérabilité

L'entête HTTP Transfer-Encoding peut utiliser le type "chunked", pour indiquer que les données sont scindées en morceaux avant d'être transférées.

La directive "RequestHeader unset Abc" du module mod_headers de Apache httpd indique de supprimer l'entête HTTP Abc. Cependant, si l'attaquant place l'entête HTTP Abc dans un fragment chunked, mod_headers ne le supprime pas.

Un attaquant peut donc employer des données HTTP Chunked, afin de contourner la directive "RequestHeader unset" de Apache httpd mod_headers.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2013-6438

Apache HTTP Server : déni de service via mod_dav

Synthèse de la vulnérabilité

Un attaquant peut envoyer une requête DAV WRITE commençant par des espaces, afin de mener un déni de service dans mod_dav de Apache HTTP Server.
Produits concernés : Apache httpd, BIG-IP Hardware, TMOS, Fedora, HP-UX, Junos Space, NSMXpress, openSUSE, Solaris, Puppet, RHEL, JBoss EAP par Red Hat, Slackware, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 2/4.
Conséquences : déni de service du service.
Provenance : compte utilisateur.
Date création : 18/03/2014.
Références : c04223376, c04483248, CERTFR-2014-AVI-131, CERTFR-2014-AVI-244, CERTFR-2014-AVI-250, CERTFR-2015-AVI-286, CERTFR-2015-AVI-431, CERTFR-2016-AVI-300, CVE-2013-6438, FEDORA-2014-5004, HPSBUX03102, HPSBUX03150, JSA10685, JSA10698, MDVSA-2014:065, MDVSA-2015:093, openSUSE-SU-2014:0969-1, openSUSE-SU-2014:1044-1, openSUSE-SU-2014:1045-1, openSUSE-SU-2014:1647-1, RHSA-2014:0369-01, RHSA-2014:0370-01, RHSA-2014:0783-01, RHSA-2014:0784-01, RHSA-2014:0825-01, RHSA-2014:0826-01, SOL15300, SSA:2014-086-02, SSRT101681, SUSE-SU-2014:0967-1, SUSE-SU-2014:1080-1, SUSE-SU-2014:1081-1, SUSE-SU-2014:1082-1, USN-2152-1, VIGILANCE-VUL-14439.

Description de la vulnérabilité

Le module mod_dav peut être activé sur Apache HTTP Server, pour éditer les documents en ligne.

Lorsque les données commencent par un espace, ils sont supprimés. Cependant, la taille des données n'est pas mise à jour, donc le terminateur '\0' est placé hors du tableau, ce qui provoque une erreur fatale.

Un attaquant peut donc envoyer une requête DAV WRITE commençant par des espaces, afin de mener un déni de service dans mod_dav de Apache HTTP Server.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2014-0098

Apache HTTP Server : déni de service via mod_log_config

Synthèse de la vulnérabilité

Un attaquant peut employer un cookie tronqué, afin de mener un déni de service dans mod_log_config de Apache HTTP Server.
Produits concernés : Apache httpd, Fedora, HP-UX, Junos Space, NSMXpress, openSUSE, Solaris, Puppet, RHEL, JBoss EAP par Red Hat, Slackware, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 2/4.
Conséquences : déni de service du service.
Provenance : client internet.
Date création : 18/03/2014.
Références : c04223376, c04483248, CERTFR-2014-AVI-131, CERTFR-2014-AVI-244, CERTFR-2015-AVI-286, CERTFR-2015-AVI-431, CERTFR-2016-AVI-300, CVE-2014-0098, FEDORA-2014-4555, FEDORA-2014-5004, HPSBUX03102, HPSBUX03150, JSA10685, JSA10698, MDVSA-2014:065, MDVSA-2015:093, openSUSE-SU-2014:0969-1, openSUSE-SU-2014:1044-1, openSUSE-SU-2014:1045-1, openSUSE-SU-2014:1647-1, RHSA-2014:0369-01, RHSA-2014:0370-01, RHSA-2014:0783-01, RHSA-2014:0784-01, RHSA-2014:0825-01, RHSA-2014:0826-01, SSA:2014-086-02, SSRT101681, SUSE-SU-2014:0967-1, SUSE-SU-2014:1080-1, SUSE-SU-2014:1081-1, SUSE-SU-2014:1082-1, USN-2152-1, VIGILANCE-VUL-14438.

Description de la vulnérabilité

Pour définir les cookies, les clients web utilisent un entête HTTP la forme :
  Cookie: nom=valeur; nom2=valeur2

Le module mod_log_config journalise les requêtes HTTP reçues par Apache httpd. Cependant, si un cookie n'a pas de valeur, une erreur fatale se produit dans la fonction log_cookie() du fichier modules/loggers/mod_log_config.c.

Un attaquant peut donc employer un cookie tronqué, afin de mener un déni de service dans mod_log_config de Apache HTTP Server.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2013-4496

Samba : brute force via SAMR

Synthèse de la vulnérabilité

Un attaquant peut employer SAMR pour mener un brute force, afin de deviner le mot de passe d'un utilisateur de Samba.
Produits concernés : Fedora, HP-UX, openSUSE, Solaris, RHEL, Samba, Slackware, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur.
Provenance : client intranet.
Date création : 12/03/2014.
Références : c05115993, CERTFR-2014-AVI-244, CVE-2013-4496, FEDORA-2014-3796, FEDORA-2014-3815, HPSBUX03574, MDVSA-2015:082, openSUSE-SU-2014:0404-1, openSUSE-SU-2014:0405-1, openSUSE-SU-2016:1106-1, openSUSE-SU-2016:1107-1, openSUSE-SU-2016:1108-1, RHSA-2014:0330-01, RHSA-2014:0383-01, SSA:2014-072-01, SUSE-SU-2014:0497-1, USN-2156-1, VIGILANCE-VUL-14408.

Description de la vulnérabilité

Le protocole SAMR (Security Account Manager Remote) permet de manipuler la base des utilisateurs.

Un utilisateur non authentifié peut appeler la fonction ChangePasswordUser2 pour demander à changer de mot de passe. Il doit alors fournir son mot de passe courant.

Cependant, le verrouillage des comptes n'est pas géré. Un attaquant peut alors l'appeler autant de fois que nécessaire, jusqu'à trouver le mot de passe courant de la victime.

Un attaquant peut donc employer SAMR pour mener un brute force, afin de deviner le mot de passe d'un utilisateur de Samba.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2013-6209

HP-UX : déni de service via NFS rpc.lockd

Synthèse de la vulnérabilité

Un attaquant peut envoyer une requête illicite vers le démon NFS rpc.lockd de HP-UX, afin de mener un déni de service.
Produits concernés : HP-UX.
Gravité : 2/4.
Conséquences : déni de service du service.
Provenance : client intranet.
Date création : 11/03/2014.
Références : c04174142, CVE-2013-6209, HPSBUX02976, SSRT101236, VIGILANCE-VUL-14394.

Description de la vulnérabilité

Le service NFS de HP-UX utilise le démon rpc.lockd, pour gérer les verrous.

Cependant, un attaquant distant peut le stopper.

Un attaquant peut donc envoyer une requête illicite vers le démon NFS rpc.lockd de HP-UX, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2013-6200

HP-UX : élévation de privilèges via m4

Synthèse de la vulnérabilité

Un attaquant local peut utiliser m4 sur HP-UX, afin d'élever ses privilèges.
Produits concernés : HP-UX.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : shell utilisateur.
Date création : 07/03/2014.
Références : c04103553, CVE-2013-6200, HPSBUX02963, SSRT101297, VIGILANCE-VUL-14373.

Description de la vulnérabilité

Le programme m4 génère des fichiers à partir de macros.

Cependant, un attaquant local peut l'employer pour obtenir un accès non autorisé.

Un attaquant local peut donc utiliser m4 sur HP-UX, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2013-4286

Apache Tomcat : injection de données via Content-Length

Synthèse de la vulnérabilité

Un attaquant peut employer deux entêtes Content-Length afin de perturber l'analyse des données d'un flux HTTP.
Produits concernés : Tomcat, Debian, Fedora, HP-UX, ePO, Oracle Communications, Solaris, RHEL, JBoss EAP par Red Hat, Ubuntu.
Gravité : 1/4.
Conséquences : création/modification de données.
Provenance : client intranet.
Date création : 25/02/2014.
Références : BID-65773, c04483248, CERTFR-2014-AVI-244, cpuoct2016, CVE-2013-4286, DSA-2897-1, DSA-3530-1, FEDORA-2014-11048, HPSBUX03150, MDVSA-2015:052, RHSA-2014:0343-01, RHSA-2014:0344-01, RHSA-2014:0345-01, RHSA-2014:0373-01, RHSA-2014:0374-01, RHSA-2014:0429-01, RHSA-2014:0458-01, RHSA-2014:0459-01, RHSA-2014:0511-01, RHSA-2014:0525-01, RHSA-2014:0526-01, RHSA-2014:0527-01, RHSA-2014:0528-01, RHSA-2014:0686-01, RHSA-2015:1009, SB10079, SSRT101681, USN-2130-1, VIGILANCE-VUL-14307.

Description de la vulnérabilité

L'entête Content-Length indique la taille des données HTTP.

Lorsque deux ou plusieurs de ces entêtes sont présents, chaque entité (client, proxy, serveur) peut prendre une décision différente :
 - utiliser la première valeur
 - utiliser la dernière valeur
 - etc.
Ces différences de comportement permettent par exemple d'injecter des données pour corrompre un cache ou obtenir des informations (VIGILANCE-VUL-4047, VIGILANCE-VUL-6675).

Les connecteurs HTTP et AJP du serveur Tomcat n'ignorent pas ces entêtes multiples, et sont donc sensible à cette famille d'attaque.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2013-5870 CVE-2013-5878 CVE-2013-5884

Oracle Java : multiples vulnérabilités de janvier 2014

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Oracle Java.
Produits concernés : Avamar, BIG-IP Hardware, TMOS, Fedora, HP-UX, AIX, Domino, Notes, IRAD, Tivoli System Automation, WebSphere AS Traditional, WebSphere MQ, Junos Space, Java OpenJDK, openSUSE, Java Oracle, JavaFX, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu, Unix (plateforme) ~ non exhaustif.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, lecture de données, création/modification de données, déni de service du service, déni de service du client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 36.
Date création : 15/01/2014.
Références : 1663938, 1670264, 1671242, 1671245, 1674922, 1675938, 1679983, 4006386, 7014224, BID-64863, BID-64875, BID-64882, BID-64890, BID-64894, BID-64899, BID-64901, BID-64903, BID-64906, BID-64907, BID-64910, BID-64912, BID-64914, BID-64915, BID-64916, BID-64917, BID-64918, BID-64919, BID-64920, BID-64921, BID-64922, BID-64923, BID-64924, BID-64925, BID-64926, BID-64927, BID-64928, BID-64929, BID-64930, BID-64931, BID-64932, BID-64933, BID-64934, BID-64935, BID-64936, BID-64937, c04166777, c04166778, CERTA-2014-AVI-030, CERTFR-2014-AVI-199, CERTFR-2014-AVI-480, CERTFR-2016-AVI-300, cpujan2014, CVE-2013-5870, CVE-2013-5878, CVE-2013-5884, CVE-2013-5887, CVE-2013-5888, CVE-2013-5889, CVE-2013-5893, CVE-2013-5895, CVE-2013-5896, CVE-2013-5898, CVE-2013-5899, CVE-2013-5902, CVE-2013-5904, CVE-2013-5905, CVE-2013-5906, CVE-2013-5907, CVE-2013-5910, CVE-2014-0368, CVE-2014-0373, CVE-2014-0375, CVE-2014-0376, CVE-2014-0382, CVE-2014-0385, CVE-2014-0387, CVE-2014-0403, CVE-2014-0408, CVE-2014-0410, CVE-2014-0411, CVE-2014-0415, CVE-2014-0416, CVE-2014-0417, CVE-2014-0418, CVE-2014-0422, CVE-2014-0423, CVE-2014-0424, CVE-2014-0428, ESA-2014-002, FEDORA-2014-0885, FEDORA-2014-0945, FEDORA-2014-1048, FEDORA-2014-2071, FEDORA-2014-2088, HPSBUX02972, HPSBUX02973, JSA10659, MDVSA-2014:011, openSUSE-SU-2014:0174-1, openSUSE-SU-2014:0177-1, openSUSE-SU-2014:0180-1, RHSA-2014:0026-01, RHSA-2014:0027-01, RHSA-2014:0030-01, RHSA-2014:0097-01, RHSA-2014:0134-01, RHSA-2014:0135-01, RHSA-2014:0136-01, RHSA-2014:0982-01, SOL17381, SSRT101454, SSRT101455, SUSE-SU-2014:0246-1, SUSE-SU-2014:0266-1, SUSE-SU-2014:0266-2, SUSE-SU-2014:0266-3, SUSE-SU-2014:0451-1, USN-2124-1, USN-2124-2, VIGILANCE-VUL-14087, ZDI-14-013, ZDI-14-038.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Oracle Java.

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-64915, CVE-2014-0410]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-64899, CVE-2014-0415]

Un attaquant peut employer une vulnérabilité de 2D TTF Font Parsing, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-64894, CVE-2013-5907, ZDI-14-013, ZDI-14-038]

Un attaquant peut employer une vulnérabilité de CORBA, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-64935, CVE-2014-0428]

Un attaquant peut employer une vulnérabilité de JNDI, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-64921, CVE-2014-0422]

Un attaquant peut employer une vulnérabilité de Install, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-64901, CVE-2014-0385]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-64931, CVE-2013-5889]

Un attaquant peut employer une vulnérabilité de Hotspot, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-64910, CVE-2014-0408]

Un attaquant peut employer une vulnérabilité de Libraries, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-64863, CVE-2013-5893]

Un attaquant peut employer une vulnérabilité de 2D, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-64932, CVE-2014-0417]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-64882, CVE-2014-0387]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-64919, CVE-2014-0424]

Un attaquant peut employer une vulnérabilité de Serviceability, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-64922, CVE-2014-0373]

Un attaquant peut employer une vulnérabilité de Security, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-64927, CVE-2013-5878]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-64890, CVE-2013-5904]

Un attaquant peut employer une vulnérabilité de JavaFX, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-64929, CVE-2013-5870]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir ou d'altérer des informations. [grav:2/4; BID-64920, CVE-2014-0403]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir ou d'altérer des informations. [grav:2/4; BID-64916, CVE-2014-0375]

Un attaquant peut employer une vulnérabilité de Beans, afin d'obtenir des informations, ou de mener un déni de service. [grav:2/4; BID-64914, CVE-2014-0423]

Un attaquant peut employer une vulnérabilité de Install, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:2/4; BID-64934, CVE-2013-5905]

Un attaquant peut employer une vulnérabilité de Install, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:2/4; BID-64903, CVE-2013-5906]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:2/4; BID-64923, CVE-2013-5902]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:2/4; BID-64917, CVE-2014-0418]

Un attaquant peut employer une vulnérabilité de Deployment, afin de mener un déni de service. [grav:2/4; BID-64875, CVE-2013-5887]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations. [grav:2/4; BID-64928, CVE-2013-5899]

Un attaquant peut employer une vulnérabilité de CORBA, afin de mener un déni de service. [grav:2/4; BID-64926, CVE-2013-5896]

Un attaquant peut employer une vulnérabilité de CORBA, afin d'obtenir des informations. [grav:2/4; BID-64924, CVE-2013-5884]

Un attaquant peut employer une vulnérabilité de JAAS, afin d'altérer des informations. [grav:2/4; BID-64937, CVE-2014-0416]

Un attaquant peut employer une vulnérabilité de JAXP, afin d'altérer des informations. [grav:2/4; BID-64907, CVE-2014-0376]

Un attaquant peut employer une vulnérabilité de Networking, afin d'obtenir des informations. [grav:2/4; BID-64930, CVE-2014-0368]

Un attaquant peut employer une vulnérabilité de Security, afin d'altérer des informations. [grav:2/4; BID-64933, CVE-2013-5910]

Un attaquant peut employer une vulnérabilité de JavaFX, afin d'obtenir des informations. [grav:2/4; BID-64906, CVE-2013-5895]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:2/4; BID-64925, CVE-2013-5888]

Un attaquant peut employer une vulnérabilité de JavaFX, afin de mener un déni de service. [grav:2/4; BID-64936, CVE-2014-0382]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir ou d'altérer des informations. [grav:2/4; BID-64912, CVE-2013-5898]

Un attaquant peut employer une vulnérabilité de JSSE, afin d'obtenir ou d'altérer des informations. [grav:2/4; BID-64918, CVE-2014-0411]
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur HPUX :