L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de TSA

bulletin de vulnérabilité informatique CVE-2015-1283

Expat : débordement d'entier de XML

Synthèse de la vulnérabilité

Un attaquant peut provoquer un débordement d'entier dans l'analyseur XML de Expat, afin de mener un déni de service, et éventuellement d'exécuter du code.
Produits concernés : APR-util, Debian, BIG-IP Hardware, TMOS, FreeBSD, Android OS, Domino, Notes, Tivoli System Automation, WebSphere AS Traditional, Juniper EX-Series, Juniper J-Series, Junos OS, SRX-Series, openSUSE, openSUSE Leap, Solaris, pfSense, Python, Slackware, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, déni de service du service, déni de service du client.
Provenance : document.
Date création : 27/07/2015.
Références : 1964428, 1965444, 1967199, 1969062, 1990421, 1990658, bulletinjul2016, CVE-2015-1283, DSA-3318-1, FreeBSD-SA-15:20.expat, JSA10904, openSUSE-SU-2016:1441-1, openSUSE-SU-2016:1523-1, SOL15104541, SSA:2016-359-01, SUSE-SU-2016:1508-1, SUSE-SU-2016:1512-1, USN-2726-1, USN-3013-1, VIGILANCE-VUL-17498.

Description de la vulnérabilité

Un attaquant peut provoquer un débordement d'entier dans l'analyseur XML de Expat, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2015-1931

IBM JDK : obtention d'information via Memory Dump

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données en lisant le Memory Dump de IBM JDK, afin d'obtenir des informations sensibles.
Produits concernés : AIX, IRAD, SPSS Data Collection, SPSS Modeler, SPSS Statistics, Tivoli System Automation, WebSphere MQ, RHEL, SUSE Linux Enterprise Desktop, SLES.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : shell utilisateur.
Date création : 23/07/2015.
Références : 1963330, 1963331, 1966040, 1966536, 1967222, 1968485, 1972455, CVE-2015-1931, RHSA-2015:1485-01, RHSA-2015:1486-01, RHSA-2015:1488-01, RHSA-2015:1544-01, SUSE-SU-2015:1329-1, SUSE-SU-2015:1331-1, SUSE-SU-2015:1345-1, SUSE-SU-2015:1375-1, SUSE-SU-2015:1509-1, VIGILANCE-VUL-17483.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données en lisant le Memory Dump de IBM JDK, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2015-1885 CVE-2015-1927 CVE-2015-1936

WebSphere AS 8.5 : quatre vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de WebSphere AS 8.5.
Produits concernés : Tivoli System Automation, WebSphere AS Traditional.
Gravité : 2/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 4.
Date création : 15/07/2015.
Références : 1959083, 1963672, 1963673, 7022958, CVE-2015-1885, CVE-2015-1927, CVE-2015-1936, CVE-2015-1946, PI31622, PI33202, PI35180, PI36211, PI37230, VIGILANCE-VUL-17411.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans WebSphere AS 8.5.

Un attaquant peut utiliser Liberty Profile, afin d'élever ses privilèges. [grav:2/4; CVE-2015-1885, PI33202, PI36211]

Un attaquant peut contourner les mesures de sécurité dans serveServletsbyClassname, afin d'élever ses privilèges. [grav:2/4; CVE-2015-1927, PI31622]

Un attaquant peut contourner les mesures de sécurité avec le paramètre JSESSIONID, afin d'élever ses privilèges. [grav:2/4; CVE-2015-1936, PI37230]

Un attaquant peut contourner les mesures de sécurité des User Roles, afin d'élever ses privilèges. [grav:2/4; CVE-2015-1946, PI35180]
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2015-0253 CVE-2015-3183 CVE-2015-3185

Apache httpd : trois vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Apache httpd.
Produits concernés : Apache httpd, Debian, VNX Operating Environment, VNX Series, BIG-IP Hardware, TMOS, Fedora, HP-UX, Domino, Tivoli System Automation, WebSphere AS Traditional, openSUSE, Solaris, Puppet, RHEL, JBoss EAP par Red Hat, SAS Add-in for Microsoft Office, SAS Analytics Pro, Base SAS Software, SAS Enterprise BI Server, SAS Enterprise Guide, SAS Management Console, SAS OLAP Server, SAS SAS/ACCESS, SAS SAS/AF, SAS SAS/CONNECT, SAS SAS/EIS, SAS SAS/ETS, SAS SAS/FSP, SAS SAS/GRAPH, SAS SAS/IML, SAS SAS/OR, SAS SAS/STAT, SAS SAS/Web Report Studio, Slackware, Synology DS***, Synology RS***, Ubuntu.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, déni de service du service.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 15/07/2015.
Références : 1963361, 1965444, 1967197, 1969062, bulletinoct2015, c04832246, c04926789, CVE-2015-0253, CVE-2015-3183, CVE-2015-3185, DSA-2019-131, DSA-3325-1, DSA-3325-2, FEDORA-2015-11689, FEDORA-2015-11792, HPSBUX03435, HPSBUX03512, openSUSE-SU-2015:1684-1, RHSA-2015:1666-01, RHSA-2015:1667-01, RHSA-2015:1668-01, RHSA-2015:2659-01, RHSA-2015:2660-01, RHSA-2015:2661-01, RHSA-2016:0062-01, RHSA-2016:2054-01, RHSA-2016:2055-01, RHSA-2016:2056-01, SOL17251, SSA:2015-198-01, SSRT102254, SSRT102977, USN-2686-1, VIGILANCE-VUL-17378.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Apache httpd.

Un attaquant peut provoquer une erreur dans l'analyse de l'entête HTTP Chunk, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-3183]

La directive ap_some_auth_required n'est pas honorée, ce qui permet à un attaquant d'accéder au service sans authentification. [grav:2/4; CVE-2015-3185]

Lorsque la configuration de "ErrorDocument 400" pointe vers un fichier/url local, et que le filtre INCLUDES est actif, un attaquant peut mener un déni de service. [grav:2/4; CVE-2015-0253]
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2015-2590 CVE-2015-2596 CVE-2015-2597

Oracle Java : multiples vulnérabilités de juillet 2015

Synthèse de la vulnérabilité

Plusieurs vulnérabilités de Oracle Java ont été annoncées en juillet 2015.
Produits concernés : DCFM Enterprise, FabricOS, Brocade Network Advisor, Brocade vTM, Debian, Avamar, BIG-IP Hardware, TMOS, Fedora, AIX, DB2 UDB, Domino, Notes, IRAD, SPSS Data Collection, SPSS Modeler, SPSS Statistics, Tivoli Storage Manager, Tivoli System Automation, WebSphere MQ, Junos Space, ePO, SnapManager, Java OpenJDK, openSUSE, Java Oracle, JavaFX, Puppet, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, lecture de données, création/modification de données, effacement de données, déni de service du service, déni de service du client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 25.
Date création : 15/07/2015.
Références : 1963330, 1963331, 1963812, 1964236, 1966040, 1966536, 1967222, 1967498, 1967893, 1968485, 1972455, 206954, 9010041, 9010044, BSA-2016-002, CERTFR-2015-ALE-007, CERTFR-2015-AVI-305, CERTFR-2016-AVI-128, cpujul2015, CVE-2015-2590, CVE-2015-2596, CVE-2015-2597, CVE-2015-2601, CVE-2015-2613, CVE-2015-2619, CVE-2015-2621, CVE-2015-2625, CVE-2015-2627, CVE-2015-2628, CVE-2015-2632, CVE-2015-2637, CVE-2015-2638, CVE-2015-2659, CVE-2015-2664, CVE-2015-2808, CVE-2015-4000, CVE-2015-4729, CVE-2015-4731, CVE-2015-4732, CVE-2015-4733, CVE-2015-4736, CVE-2015-4748, CVE-2015-4749, CVE-2015-4760, DSA-3316-1, DSA-3339-1, ESA-2015-134, FEDORA-2015-11859, FEDORA-2015-11860, JSA10727, NTAP-20150715-0001, NTAP-20151028-0001, openSUSE-SU-2015:1288-1, openSUSE-SU-2015:1289-1, RHSA-2015:1228-01, RHSA-2015:1229-01, RHSA-2015:1230-01, RHSA-2015:1241-01, RHSA-2015:1242-01, RHSA-2015:1243-01, RHSA-2015:1485-01, RHSA-2015:1486-01, RHSA-2015:1488-01, RHSA-2015:1526-01, RHSA-2015:1544-01, SB10139, SOL17079, SOL17169, SOL17170, SOL17171, SOL17173, SUSE-SU-2015:1319-1, SUSE-SU-2015:1320-1, SUSE-SU-2015:1329-1, SUSE-SU-2015:1331-1, SUSE-SU-2015:1345-1, SUSE-SU-2015:1375-1, SUSE-SU-2015:1509-1, SUSE-SU-2015:2166-1, SUSE-SU-2015:2192-1, USN-2696-1, USN-2706-1, VIGILANCE-VUL-17371.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Oracle Java.

Un attaquant peut employer une vulnérabilité de 2D, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service (VIGILANCE-VUL-17558). [grav:3/4; CVE-2015-4760]

Un attaquant peut employer une vulnérabilité de CORBA, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-2628]

Un attaquant peut employer une vulnérabilité de JMX, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-4731]

Un attaquant peut employer une vulnérabilité de Libraries, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-2590]

Un attaquant peut employer une vulnérabilité de Libraries, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-4732]

Un attaquant peut employer une vulnérabilité de RMI, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-4733]

Un attaquant peut employer une vulnérabilité de 2D, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-2638]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-4736]

Un attaquant peut employer une vulnérabilité de Security, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-4748]

Un attaquant peut employer une vulnérabilité de Install, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-2597]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-2664]

Un attaquant peut employer une vulnérabilité de 2D, afin d'obtenir des informations. [grav:2/4; CVE-2015-2632]

Un attaquant peut employer une vulnérabilité de JCE, afin d'obtenir des informations. [grav:2/4; CVE-2015-2601]

Un attaquant peut employer une vulnérabilité de JCE, afin d'obtenir des informations (VIGILANCE-VUL-18168). [grav:2/4; CVE-2015-2613]

Un attaquant peut employer une vulnérabilité de JMX, afin d'obtenir des informations. [grav:2/4; CVE-2015-2621]

Un attaquant peut employer une vulnérabilité de Security, afin de mener un déni de service. [grav:2/4; CVE-2015-2659]

Un attaquant peut employer une vulnérabilité de 2D, afin d'obtenir des informations. [grav:2/4; CVE-2015-2619]

Un attaquant peut contourner les mesures de sécurité dans 2D, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2015-2637]

Un attaquant peut employer une vulnérabilité de Hotspot, afin d'altérer des informations. [grav:2/4; CVE-2015-2596]

Un attaquant peut employer une vulnérabilité de JNDI, afin de mener un déni de service. [grav:2/4; CVE-2015-4749]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir ou d'altérer des informations. [grav:2/4; CVE-2015-4729]

Un attaquant peut employer une vulnérabilité de JSSE, afin d'obtenir ou d'altérer des informations. [grav:2/4; CVE-2015-4000]

Un attaquant peut employer une vulnérabilité de JSSE, afin d'obtenir ou d'altérer des informations. [grav:2/4; CVE-2015-2808]

Un attaquant peut employer une vulnérabilité de Install, afin d'obtenir des informations. [grav:1/4; CVE-2015-2627]

Un attaquant peut employer une vulnérabilité de JSSE, afin d'obtenir des informations. [grav:1/4; CVE-2015-2625]
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2015-4000

TLS : affaiblissement de Diffie-Hellman via Logjam

Synthèse de la vulnérabilité

Un attaquant, placé en Man-in-the-middle, peut forcer le client/serveur TLS à accepter un algorithme d'export faible, afin de plus facilement intercepter ou modifier les données échangées.
Produits concernés : Apache httpd, Blue Coat CAS, ProxyAV, ProxySG par Blue Coat, SGOS par Blue Coat, DCFM Enterprise, Brocade Network Advisor, Brocade vTM, Clearswift Email Gateway, Debian, Summit, Fedora, FileZilla Server, FreeBSD, HPE BSM, HPE NNMi, HP Operations, HP-UX, AIX, DB2 UDB, IRAD, Security Directory Server, SPSS Modeler, Tivoli Storage Manager, Tivoli System Automation, Tivoli Workload Scheduler, WebSphere AS Traditional, WebSphere MQ, Juniper J-Series, Junos OS, Junos Pulse, Juniper Network Connect, Juniper SBR, lighttpd, ePO, Firefox, NSS, MySQL Community, MySQL Enterprise, Data ONTAP 7-Mode, Snap Creator Framework, SnapManager, NetBSD, nginx, Nodejs Core, OpenSSL, openSUSE, openSUSE Leap, Solaris, Palo Alto Firewall PA***, PAN-OS, Percona Server, RealPresence Collaboration Server, RealPresence Distributed Media Application, RealPresence Resource Manager, Polycom VBP, Postfix, SSL (protocole), Pulse Connect Secure, Puppet, RHEL, JBoss EAP par Red Hat, Sendmail, Slackware, SUSE Linux Enterprise Desktop, SLES, Synology DS***, Synology RS***, Ubuntu, WinSCP.
Gravité : 2/4.
Conséquences : lecture de données, création/modification de données.
Provenance : serveur internet.
Date création : 20/05/2015.
Date révision : 20/05/2015.
Références : 1610582, 1647054, 1957980, 1958984, 1959033, 1959539, 1959745, 1960194, 1960418, 1960862, 1962398, 1962694, 1963151, 9010038, 9010039, 9010041, 9010044, BSA-2015-005, bulletinjan2016, bulletinjul2015, c04725401, c04760669, c04767175, c04770140, c04773119, c04773241, c04774058, c04778650, c04832246, c04918839, c04926789, CERTFR-2016-AVI-303, CTX216642, CVE-2015-4000, DLA-507-1, DSA-3287-1, DSA-3300-1, DSA-3688-1, FEDORA-2015-10047, FEDORA-2015-10108, FEDORA-2015-9048, FEDORA-2015-9130, FEDORA-2015-9161, FreeBSD-EN-15:08.sendmail, FreeBSD-SA-15:10.openssl, HPSBGN03399, HPSBGN03407, HPSBGN03411, HPSBGN03417, HPSBHF03433, HPSBMU03345, HPSBMU03401, HPSBUX03363, HPSBUX03388, HPSBUX03435, HPSBUX03512, JSA10681, Logjam, NetBSD-SA2015-008, NTAP-20150616-0001, NTAP-20150715-0001, NTAP-20151028-0001, openSUSE-SU-2015:1139-1, openSUSE-SU-2015:1209-1, openSUSE-SU-2015:1216-1, openSUSE-SU-2015:1277-1, openSUSE-SU-2016:0226-1, openSUSE-SU-2016:0255-1, openSUSE-SU-2016:0261-1, openSUSE-SU-2016:2267-1, PAN-SA-2016-0020, PAN-SA-2016-0028, RHSA-2015:1072-01, RHSA-2015:1185-01, RHSA-2015:1197-01, RHSA-2016:2054-01, RHSA-2016:2055-01, RHSA-2016:2056-01, SA111, SA40002, SA98, SB10122, SSA:2015-219-02, SSRT102180, SSRT102254, SSRT102964, SSRT102977, SUSE-SU-2015:1143-1, SUSE-SU-2015:1150-1, SUSE-SU-2015:1177-1, SUSE-SU-2015:1177-2, SUSE-SU-2015:1181-1, SUSE-SU-2015:1181-2, SUSE-SU-2015:1182-2, SUSE-SU-2015:1183-1, SUSE-SU-2015:1183-2, SUSE-SU-2015:1184-1, SUSE-SU-2015:1184-2, SUSE-SU-2015:1185-1, SUSE-SU-2015:1268-1, SUSE-SU-2015:1268-2, SUSE-SU-2015:1269-1, SUSE-SU-2015:1581-1, SUSE-SU-2016:0224-1, SUSE-SU-2018:1768-1, TSB16728, USN-2624-1, USN-2625-1, USN-2656-1, USN-2656-2, VIGILANCE-VUL-16950, VN-2015-007.

Description de la vulnérabilité

L'algorithme Diffie-Hellman permet d'échanger des clés cryptographiques. La suite DHE_EXPORT utilise des nombres premiers de maximum 512 bits.

L'algorithme Diffie-Hellman est utilisé par TLS. Cependant, durant la négociation, un attaquant placé en Man-in-the-middle peut forcer TLS à utiliser DHE_EXPORT (même si des suites plus fortes sont disponibles).

Cette vulnérabilité peut ensuite être combinée avec VIGILANCE-VUL-16951.

Un attaquant, placé en Man-in-the-middle, peut donc forcer le client/serveur TLS à accepter un algorithme d'export faible, afin de plus facilement intercepter ou modifier les données échangées.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2014-7810

Apache Tomcat : élévation de privilèges via Web Application

Synthèse de la vulnérabilité

Un attaquant peut créer une application illicite, et inviter l'administrateur à l'installer sur Apache Tomcat, afin d'élever ses privilèges.
Produits concernés : Tomcat, Debian, HP-UX, Tivoli System Automation, WebSphere AS Traditional, Oracle Communications, Solaris, RHEL.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur.
Provenance : document.
Date création : 18/05/2015.
Références : bulletinoct2015, c05054964, cpujul2018, CVE-2014-7810, DSA-3428-1, DSA-3447-1, DSA-3530-1, HPSBUX03561, ibm10729557, ibm10739953, RHSA-2015:1621-01, RHSA-2015:1622-01, RHSA-2016:0492-01, VIGILANCE-VUL-16917.

Description de la vulnérabilité

L'administrateur de Apache Tomcat peut accepter d'installer des applications web de provenance non sûre.

Cependant, ces applications peuvent utiliser l'Expression Language pour contourner le Security Manager.

Un attaquant peut donc créer une application illicite, et inviter l'administrateur à l'installer sur Apache Tomcat, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2015-1920

WebSphere AS : exécution de code via Management Port

Synthèse de la vulnérabilité

Un attaquant peut se connecter sur le port d'administration de WebSphere AS, afin d'exécuter du code.
Produits concernés : Tivoli System Automation, Tivoli Workload Scheduler, WebSphere AS Traditional.
Gravité : 3/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur.
Provenance : client intranet.
Date création : 29/04/2015.
Références : 1883573, 1957952, 1957955, 1960313, 1963275, 7014463, 7022958, CERTFR-2015-AVI-194, CVE-2015-1920, VIGILANCE-VUL-16755.

Description de la vulnérabilité

Le produit WebSphere AS dispose d'un service d'administration web en écoute sur un port.

Cependant, si un attaquant envoie une séquence spécifique d'instructions sur ce port, il peut exécuter du code.

Un attaquant peut donc se connecter sur le port d'administration de WebSphere AS, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2015-0204 CVE-2015-0458 CVE-2015-0459

Oracle Java : multiples vulnérabilités de avril 2015

Synthèse de la vulnérabilité

Plusieurs vulnérabilités de Oracle Java ont été annoncées en avril 2015.
Produits concernés : DCFM Enterprise, Brocade Network Advisor, Brocade vTM, Debian, Avamar, ECC, Fedora, AIX, DB2 UDB, Domino, Notes, IRAD, Security Directory Server, SPSS Modeler, Tivoli Storage Manager, Tivoli System Automation, Tivoli Workload Scheduler, WebSphere AS Traditional, WebSphere MQ, ePO, Java OpenJDK, openSUSE, Java Oracle, JavaFX, Puppet, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, lecture de données, création/modification de données, effacement de données, déni de service du service, déni de service du client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 14.
Date création : 15/04/2015.
Références : 1610582, 1902260, 1903541, 1903704, 1958902, 1960194, 1964236, 1966551, 1967498, 1968485, 205086, 206954, 7045736, BSA-2015-009, CERTFR-2015-AVI-172, cpuapr2015, CVE-2015-0204, CVE-2015-0458, CVE-2015-0459, CVE-2015-0460, CVE-2015-0469, CVE-2015-0470, CVE-2015-0477, CVE-2015-0478, CVE-2015-0480, CVE-2015-0484, CVE-2015-0486, CVE-2015-0488, CVE-2015-0491, CVE-2015-0492, DSA-3234-1, DSA-3235-1, DSA-3316-1, ESA-2015-085, ESA-2015-134, FEDORA-2015-6357, FEDORA-2015-6369, FEDORA-2015-6397, FREAK, MDVSA-2015:212, openSUSE-SU-2015:0773-1, openSUSE-SU-2015:0774-1, RHSA-2015:0806-01, RHSA-2015:0807-01, RHSA-2015:0808-01, RHSA-2015:0809-01, RHSA-2015:0854-01, RHSA-2015:0857-01, RHSA-2015:0858-01, RHSA-2015:1006-01, RHSA-2015:1007-01, RHSA-2015:1020-01, RHSA-2015:1021-01, RHSA-2015:1091-01, SB10119, SUSE-SU-2015:0833-1, SUSE-SU-2015:1085-1, SUSE-SU-2015:1086-1, SUSE-SU-2015:1086-2, SUSE-SU-2015:1086-3, SUSE-SU-2015:1086-4, SUSE-SU-2015:1138-1, SUSE-SU-2015:1161-1, SUSE-SU-2015:2166-1, SUSE-SU-2015:2168-1, SUSE-SU-2015:2168-2, SUSE-SU-2015:2182-1, SUSE-SU-2015:2192-1, SUSE-SU-2015:2216-1, USN-2573-1, USN-2574-1, VIGILANCE-VUL-16607, VU#243585.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Oracle Java.

Un attaquant peut employer une vulnérabilité de 2D, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-0469]

Un attaquant peut employer une vulnérabilité de 2D, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-0459]

Un attaquant peut employer une vulnérabilité de 2D, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-0491]

Un attaquant peut employer une vulnérabilité de Hotspot, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-0460]

Un attaquant peut employer une vulnérabilité de JavaFX, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-0492]

Un attaquant peut employer une vulnérabilité de JavaFX, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-0458]

Un attaquant peut employer une vulnérabilité de JavaFX, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-0484]

Un attaquant peut employer une vulnérabilité de Tools, afin d'altérer des informations, ou de mener un déni de service. [grav:2/4; CVE-2015-0480]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations. [grav:2/4; CVE-2015-0486]

Un attaquant peut employer une vulnérabilité de JSSE, afin de mener un déni de service. [grav:2/4; CVE-2015-0488]

Un attaquant peut employer une vulnérabilité de Beans, afin d'altérer des informations. [grav:2/4; CVE-2015-0477]

Un attaquant peut employer une vulnérabilité de Hotspot, afin d'altérer des informations. [grav:2/4; CVE-2015-0470]

Un attaquant peut employer une vulnérabilité de JCE, afin d'obtenir des informations (VIGILANCE-VUL-17836). [grav:2/4; CVE-2015-0478]

Un attaquant, placé en Man-in-the-middle, peut forcer le client Chrome, JSSE, LibReSSL, Mono ou OpenSSL à accepter un algorithme d'export faible, afin de plus facilement intercepter ou modifier les données échangées (VIGILANCE-VUL-16301). [grav:2/4; CVE-2015-0204, FREAK, VU#243585]
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2014-3566 CVE-2014-6549 CVE-2014-6585

Oracle Java : multiples vulnérabilités de janvier 2015

Synthèse de la vulnérabilité

Plusieurs vulnérabilités de Oracle Java ont été annoncées en janvier 2015.
Produits concernés : Debian, Fedora, HP-UX, AIX, IRAD, Tivoli System Automation, Tivoli Workload Scheduler, WebSphere MQ, ePO, Java OpenJDK, openSUSE, Java Oracle, JavaFX, Solaris, Puppet, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu, vCenter Server, VMware vSphere.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, accès/droits client, lecture de données, création/modification de données, effacement de données, déni de service du service.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 19.
Date création : 21/01/2015.
Références : 1698239, 1699051, 1700706, 1701485, 7045736, c04517481, c04580241, c04583581, CERTFR-2015-AVI-034, CERTFR-2016-AVI-303, cpujan2015, CTX216642, CVE-2014-3566, CVE-2014-6549, CVE-2014-6585, CVE-2014-6587, CVE-2014-6591, CVE-2014-6593, CVE-2014-6601, CVE-2015-0383, CVE-2015-0395, CVE-2015-0400, CVE-2015-0403, CVE-2015-0406, CVE-2015-0407, CVE-2015-0408, CVE-2015-0410, CVE-2015-0412, CVE-2015-0413, CVE-2015-0421, CVE-2015-0437, DSA-3144-1, DSA-3147-1, FEDORA-2015-0983, FEDORA-2015-1075, FEDORA-2015-1150, FEDORA-2015-8251, FEDORA-2015-8264, HPSBUX03219, HPSBUX03273, HPSBUX03281, MDVSA-2015:033, MDVSA-2015:198, openSUSE-SU-2015:0190-1, RHSA-2015:0067-01, RHSA-2015:0068-01, RHSA-2015:0069-01, RHSA-2015:0079-01, RHSA-2015:0080-01, RHSA-2015:0085-01, RHSA-2015:0086-01, RHSA-2015:0133-01, RHSA-2015:0134-01, RHSA-2015:0135-01, RHSA-2015:0136-01, RHSA-2015:0263-01, RHSA-2015:0264-01, SB10104, SSRT101859, SSRT101951, SSRT101968, SUSE-SU-2015:0336-1, SUSE-SU-2015:0503-1, USN-2486-1, USN-2487-1, VIGILANCE-VUL-16014, VMSA-2015-0003, VMSA-2015-0003.1, VMSA-2015-0003.10, VMSA-2015-0003.11, VMSA-2015-0003.12, VMSA-2015-0003.13, VMSA-2015-0003.14, VMSA-2015-0003.15, VMSA-2015-0003.2, VMSA-2015-0003.3, VMSA-2015-0003.4, VMSA-2015-0003.5, VMSA-2015-0003.6, VMSA-2015-0003.8, VMSA-2015-0003.9.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Oracle Java.

Un attaquant peut employer une vulnérabilité de Hotspot, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-6601]

Un attaquant peut employer une vulnérabilité de JAX-WS, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-0412]

Un attaquant peut employer une vulnérabilité de Libraries, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-6549]

Un attaquant peut employer une vulnérabilité de RMI, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-0408]

Un attaquant peut employer une vulnérabilité de Hotspot, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-0395]

Un attaquant peut employer une vulnérabilité de Hotspot, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-0437]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-0403]

Un attaquant peut employer une vulnérabilité de Install, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-0421]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, ou de mener un déni de service. [grav:2/4; CVE-2015-0406]

Un attaquant peut employer une vulnérabilité de Hotspot, afin d'altérer des informations, ou de mener un déni de service. [grav:2/4; CVE-2015-0383]

Un attaquant peut employer une vulnérabilité de Libraries, afin d'obtenir des informations. [grav:2/4; CVE-2015-0400]

Un attaquant peut employer une vulnérabilité de Swing, afin d'obtenir des informations. [grav:2/4; CVE-2015-0407]

Un attaquant peut employer une vulnérabilité de Security, afin de mener un déni de service. [grav:2/4; CVE-2015-0410]

Un attaquant peut employer une vulnérabilité de Libraries, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:2/4; CVE-2014-6587]

Un attaquant peut employer une vulnérabilité de JSSE, afin d'obtenir des informations. [grav:2/4; CVE-2014-3566]

Un attaquant peut employer une vulnérabilité de JSSE, afin d'obtenir ou d'altérer des informations (VIGILANCE-VUL-16300). [grav:2/4; CVE-2014-6593]

Un attaquant peut employer une vulnérabilité de 2D, afin d'obtenir des informations (VIGILANCE-VUL-17559). [grav:1/4; CVE-2014-6585]

Un attaquant peut employer une vulnérabilité de 2D, afin d'obtenir des informations. [grav:1/4; CVE-2014-6591]

Un attaquant peut employer une vulnérabilité de Serviceability, afin d'altérer des informations. [grav:1/4; CVE-2015-0413]
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur TSA :