[PATCH][ORACLE] Prise de contrôle d’un système via 8 vulnérabilités au sein d’Oracle Java SE (Java SE 8 Update 71 / Update 72) (cpujan2016)

[PATCH][ORACLE] Prise de contrôle d’un système via 8 vulnérabilités au sein d’Oracle Java SE (Java SE 8 Update 71 / Update 72) (cpujan2016)

Comme chaque semaine, le CERT-XMCO vous partage une information ayant fait l’actualité durant la semaine écoulée. Cette semaine, nous vous proposons le premier bulletin de sécurité de l’année concernant Oracle Java SE.

Bulletin CXA-2016-0201
Titre Prise de contrôle d’un système via 8 vulnérabilités au sein d’Oracle Java SE (Java SE 8 Update 71 / Update 72) (cpujan2016)
Titre officiel Oracle Critical Patch Update Advisory – January 2016
Criticité Criticite Moyenne
Date 20 Janvier 2016
Plateforme Oracle
Programme Oracle Java SE
Exploitation Distante
Dommage Manipulation de données
Vol d’informations
Accès au système
Déni de service
Description Huit vulnérabilités ont été corrigées au sein d’Oracle Java SE. L’exploitation de celles-ci permettait à un attaquant de provoquer un déni de service, d’accéder à des informations sensibles, de manipuler des données et de compromettre un système à distance.

Quatre vulnérabilités non spécifiées affectaient les sous-composants « 2D » (CVE-2016-0494), « JMX » (CVE-2016-0448), « AWT » (CVE-2015-8126), et « Networking » (CVE-2016-0402) des logiciels Java SE et Java SE Embedded.
Trois d’entre elles pouvaient être exploitées à distance sans authentification préalable.

Quatre failles de sécurité non spécifiées affectaient les sous-composants « Libraries » (CVE-2016-0475), « JAXP » (CVE-2016-0466), « AWT » (CVE-2016-0483) et « Security » (CVE-2015-7575) des logiciels Java SE, Java SE Embedded et JRockit.
Toutes pouvaient être exploitées à distance sans authentification préalable.

Parmi ces huit vulnérabilités :
– 4 d’entre elles ne concernent que les postes client ;
– 4 affectent à la fois les postes client et serveur de Java SE.

Aucune information complémentaire n’est disponible.

Vulnérable * Oracle Java SE 6u105, 7u91, 8u66
* Oracle JRockit R28.3.8
* Oracle Java SE Embedded 8u65
Référence http://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.html#AppendixJAVA
http://www.oracle.com/technetwork/topics/security/cpujan2016verbose-2367956.html#JAVA
Référence CVE https://cert.xmco.fr/veille/index.xmco?nv=CVE-2016-0494
https://cert.xmco.fr/veille/index.xmco?nv=CVE-2016-0483
https://cert.xmco.fr/veille/index.xmco?nv=CVE-2016-0475
https://cert.xmco.fr/veille/index.xmco?nv=CVE-2016-0466
https://cert.xmco.fr/veille/index.xmco?nv=CVE-2016-0448
https://cert.xmco.fr/veille/index.xmco?nv=CVE-2016-0402
https://cert.xmco.fr/veille/index.xmco?nv=CVE-2015-8126
https://cert.xmco.fr/veille/index.xmco?nv=CVE-2015-7575
Correction Le CERT-XMCO recommande l’installation du correctif disponible sur le site de l’éditeur à l’adresse suivante :

https://support.oracle.com/rs?type=doc&id=2087883.1

Id XMCO CXA-2016-0201
Lien extranet XMCO https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2016-0201

Cert-XMCO