Vulnérabilité dans Oracle Java SE (13 juillet 2015)

Avis et alertes de sécurité au jour le jour (aucune question posée dans ce sous-forum)

Modérateur: Modérateurs et Modératrices

Vulnérabilité dans Oracle Java SE (13 juillet 2015)

Messagede pierre » 13 Juil 2015, 21:57

Vulnérabilité dans Oracle Java SE (13 juillet 2015)

Date initiale de l'alerte
13 juillet 2015

Source
Pawn Storm Update: Trend Micro Discovers New Java Zero-Day Exploit

1 - Risque(s)
exécution de code arbitraire à distance

2 - Systèmes affecté(s)
Oracle Java SE version 1.8.0.45 et antérieures

3 - Résumé
Une vulnérabilité a été découverte dans Oracle Java SE par l'éditeur Trend Micro. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.

Cette vulnérabilité est actuellement exploitée et susceptible d'être largement diffusée.

4 - Contournement provisoire
Dans l'attente de la disponibilité d'un correctif de la part de l'éditeur, le CERT-FR recommande de désactiver le greffon Java SE.

5 - Documentation
Pawn Storm Update: Trend Micro Discovers New Java Zero-Day Exploit
http://blog.trendmicro.com/trendlabs-se ... y-exploit/
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 25756
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: Vulnérabilité dans Oracle Java SE (13 juillet 2015)

Messagede Tourix » 14 Juil 2015, 16:19

Bonjour,

Ne pas confondre Java SE avec Java RE
FAQ : https://www.java.com/fr/download/faq/techinfo.xml
Avatar de l’utilisateur
Tourix
 
Messages: 627
Inscription: 10 Juin 2014, 08:39

Re: Vulnérabilité dans Oracle Java SE (13 juillet 2015)

Messagede pierre » 14 Juil 2015, 20:07

Bonsoir Tourix,

Java existe en plusieurs solutions dont les plus visibles sont JSE, la plateforme de développement, pour les programmeurs en Java, et JRE, la plateforme d'exécution (JRE - Java Runtime Environment), côté utilisateurs.

Oracle a racheté SUN (dont JAVA, une création de SUN) le 29 avril 2009.

Solutions Java

Plateformes Java
Java EE
Java ME
Java SE
JavaFX

Environnements de développement
JDeveloper
NetBeans
Oracle Application Express

Serveurs d'applications
Oracle GlassFish Server
Oracle iPlanet Web Server (en)
Oracle WebLogic Server


Cordialement
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 25756
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: Vulnérabilité dans Oracle Java SE (13 juillet 2015)

Messagede pierre » 16 Juil 2015, 20:55

Multiples vulnérabilités dans Oracle Java SE (15 juillet 2015)

Version initiale de l'alerte
13 juillet 2015 (Zero Day alerte)

Révision de l'alerte
15 juillet 2015 - Correction

Source
Bulletin de sécurité Oracle du 14 juillet 2015

1 - Risque(s)
non spécifié par l'éditeur (mais l'alerte du 13.07.2015 évoquait un risque exécution de code arbitraire à distance)


2 - Systèmes affectés
Oracle Java SE versions 6u95 et antérieures
Oracle Java SE versions 7u80 et antérieures
Oracle Java SE versions 8u45 et antérieures
Oracle JRockit versions R28.3.6 et antérieures
Oracle Java SE Embedded 7u75 et antérieures
Oracle Java SE Embedded 8u33 et antérieures
Oracle Java FX 2.2.80 et antérieures

3 - Résumé
De multiples vulnérabilités ont été corrigées dans Oracle Java SE. Elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur.

4 - Contournement provisoire
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

5 - Documentation
Bulletin de sécurité Oracle du 14 juillet 2015
http://www.oracle.com/technetwork/topic ... 67936.html

Référence CVE CVE-2015-2590
http://cve.mitre.org/cgi-bin/cvename.cg ... -2015-2590

Référence CVE CVE-2015-2596
http://cve.mitre.org/cgi-bin/cvename.cg ... -2015-2596

Référence CVE CVE-2015-2597
http://cve.mitre.org/cgi-bin/cvename.cg ... -2015-2597

Référence CVE CVE-2015-2601
http://cve.mitre.org/cgi-bin/cvename.cg ... -2015-2601

Référence CVE CVE-2015-2613
http://cve.mitre.org/cgi-bin/cvename.cg ... -2015-2613

Référence CVE CVE-2015-2619
http://cve.mitre.org/cgi-bin/cvename.cg ... -2015-2619

Référence CVE CVE-2015-2621
http://cve.mitre.org/cgi-bin/cvename.cg ... -2015-2621

Référence CVE CVE-2015-2625
http://cve.mitre.org/cgi-bin/cvename.cg ... -2015-2625

Référence CVE CVE-2015-2627
http://cve.mitre.org/cgi-bin/cvename.cg ... -2015-2627

Référence CVE CVE-2015-2628
http://cve.mitre.org/cgi-bin/cvename.cg ... -2015-2628

Référence CVE CVE-2015-2632
http://cve.mitre.org/cgi-bin/cvename.cg ... -2015-2632

Référence CVE CVE-2015-2637
http://cve.mitre.org/cgi-bin/cvename.cg ... -2015-2637

Référence CVE CVE-2015-2638
http://cve.mitre.org/cgi-bin/cvename.cg ... -2015-2638

Référence CVE CVE-2015-2659
http://cve.mitre.org/cgi-bin/cvename.cg ... -2015-2659

Référence CVE CVE-2015-2664
http://cve.mitre.org/cgi-bin/cvename.cg ... -2015-2664

Référence CVE CVE-2015-2808
http://cve.mitre.org/cgi-bin/cvename.cg ... -2015-2808

Référence CVE CVE-2015-4000
http://cve.mitre.org/cgi-bin/cvename.cg ... -2015-4000

Référence CVE CVE-2015-4729
http://cve.mitre.org/cgi-bin/cvename.cg ... -2015-4729

Référence CVE CVE-2015-4731
http://cve.mitre.org/cgi-bin/cvename.cg ... -2015-4731

Référence CVE CVE-2015-4732
http://cve.mitre.org/cgi-bin/cvename.cg ... -2015-4732

Référence CVE CVE-2015-4733
http://cve.mitre.org/cgi-bin/cvename.cg ... -2015-4733

Référence CVE CVE-2015-4736
http://cve.mitre.org/cgi-bin/cvename.cg ... -2015-4736

Référence CVE CVE-2015-4748
http://cve.mitre.org/cgi-bin/cvename.cg ... -2015-4748

Référence CVE CVE-2015-4749
http://cve.mitre.org/cgi-bin/cvename.cg ... -2015-4749

Référence CVE CVE-2015-4760
http://cve.mitre.org/cgi-bin/cvename.cg ... -2015-4760
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 25756
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: Vulnérabilité dans Oracle Java SE (13 juillet 2015)

Messagede pierre » 21 Juil 2015, 10:36

Vulnérabilité dans Oracle Java SE (13 juillet 2015) - Correction et clôture de l'alerte

Vous devez être en version 8.0.51
Mise à jour de tous les plugins dans tous les navigateurs

Version initiale de l'alerte
13 juillet 2015

Révision de l'alerte
20 juillet 2015

Sources
Pawn Storm Update: Trend Micro Discovers New Java Zero-Day Exploit
Bulletin de sécurité Oracle du 14 juillet 2015

1 - Risque(s)
exécution de code arbitraire à distance

2 - Systèmes affecté(s)
Oracle Java SE version 1.8.0.45 et antérieures

3 - Résumé
Une vulnérabilité a été découverte dans Oracle Java SE par l'éditeur Trend Micro. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.

Cette vulnérabilité est actuellement exploitée et susceptible d'être largement diffusée.

4 - Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

5 - Documentation
Pawn Storm Update: Trend Micro Discovers New Java Zero-Day Exploit
http://blog.trendmicro.com/trendlabs-se ... y-exploit/

Bulletin de sécurité Oracle du 14 juillet 2015
http://www.oracle.com/technetwork/topic ... 67936.html
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 25756
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: Vulnérabilité dans Oracle Java SE (13 juillet 2015)

Messagede Tourix » 21 Juil 2015, 15:43

Je l'exécute et comme je suis sous XP, je reçois ce message :
Java 8 XP.jpg
Java 8 XP.jpg (26.56 Kio) Vu 259 fois
A part ce message il s'installe normalement. Je désactive toujours SunJavaUpdateSched du démarrage.
Avatar de l’utilisateur
Tourix
 
Messages: 627
Inscription: 10 Juin 2014, 08:39

Re: Vulnérabilité dans Oracle Java SE (13 juillet 2015)

Messagede pierre » 21 Juil 2015, 17:42

Bonsoir Tourix

Cet article dans la FAQ d'Oracle :
https://www.java.com/fr/download/faq/winxp.xml


Windows XP et Java
Cet article s'applique aux éléments suivants:

Plate(s)-forme(s): Windows XP

Pourquoi Windows XP n'est plus pris en charge ?
Depuis le 8 avril 2014, Microsoft ne prend plus en charge Windows XP ; cette plate-forme n'est par conséquent plus prise en charge officiellement. Les utilisateurs peuvent néanmoins continuer à utiliser les mises à jour de Java 8 sous Windows XP à leurs risques et périls, mais nous ne pouvons plus vous donner de garanties relatives à Java sous Windows XP, car le système d'exploitation n'est plus mis à jour par Microsoft. Nous recommandons vivement aux utilisateurs d'effectuer une mise à niveau vers une version plus récente de Windows qui est toujours prise en charge par Microsoft, afin de conserver un environnement stable et sécurisé.

Puis-je toujours utiliser Java sous Windows XP ?
Java 8 (et les versions précédentes) devrait continuer à fonctionner sous Windows XP.

J'ai un ordinateur de bureau/portable doté de Windows XP. Continuerai-je à obtenir des mises à jour automatiques pour Java lorsque Oracle lancera une mise à jour de sécurité ?
Oui, les mises à jour de sécurité publiées par Oracle continueront à être propagées sur les bureaux Windows XP.

Qu'entendez-vous par 'non pris en charge' ?
Les clients disposant d'un contrat de support peuvent être obligés de reproduire un problème détecté sous Windows XP sur une version ultérieure de Windows, et si le problème est propre à Windows XP, Oracle n'est pas tenu d'émettre un patch ou une solution de contournement (et risque de ne pas être en mesure de le faire). Pour plus d'informations, reportez-vous aux conditions de prise en charge s'appliquant aux fournisseurs tiers dans les politiques de support technique Oracle (pdf).


Cordialement
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 25756
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant


Retourner vers Alertes

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 4 invités