S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 10 février 2011
N° CERTA-2011-AVI-079
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans plusieurs implémentations de Java

Gestion du document

Référence CERTA-2011-AVI-079
Titre Vulnérabilité dans plusieurs implémentations de Java
Date de la première version10 février 2011
Date de la dernière version17 mai 2011
Source(s) Avis de mise à jour Oracle concernant la référence CVE CVE-2010-4476
Bulletin de sécurité Hitachi HS11-008 du 16 mai 2011
Bulletin de sécurité HP c02729756 du 23 février 2011
Bulletin de sécurité IBM CICS 1462384
Bulletin de sécurité IBM swg21474615 du 31 mars 2011
Bulletins de sécurité IBM Java IZ94331, IZ94423, et PM31983
Bulletins de sécurité IBM WebSphere Application Server Java PM32177,
et PM32387
PM32175, PM32192, PM32173, PM32184, PM32194, PM32238, PM32254, PM32272,

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Déni de service

Systèmes affectés

  • Hitachi JP1/Automatic Job Management System ;
  • Hitachi JP1/Cm2/Network Node Manager ;
  • Hitachi JP1/Cm2/SNMP System Observer ;
  • Hitachi JP1/Integrated Management (IM) ;
  • Hitachi JP1/IT Ressource Management ;
  • Hitachi JP1/Performance Management (PFM) ;
  • Hitachi JP1/ServerConductor/Control Manager.
  • HP-UX 11.11, 11.23 et 11.31 ;
  • IBM CICS Transaction Server 3.1, 3.2 et 4.1 ;
  • IBM WebSphere Application Server 6.0.x, 6.1.x et 7.0.x ;
  • IBM WebSphere Portal 6.x et 7.x ;
  • Java for Business, JDK et JRE 5.0 mise à jour 27 et versions antérieures pour Windows Solaris et Linux ;
  • Java for Business, JDK et JRE 6 mise à jour 23 et versions antérieures pour Windows Solaris et Linux ;
  • Java for Business, SDK et JRE 1.4.2_29 et versions antérieures pour Windows Solaris et Linux ;
  • Java SE, JDK 5.0 mise à jour 27 et versions antérieures pour Solaris 9 ;
  • Java SE, JDK et JRE 6 mise à jour 23 et versions antérieures pour Windows, Solaris et Linux ;
  • Java SE, SDK 1.4.2_29 et versions antérieures pour Solaris 8 ;
  • Tivoli Directory Server 5.1.3.2, 6.1, 6.1.1, 6.1.1.1 et 6.1.1.2 ;

Résumé

Une vulnérabilité affecte plusieurs implémentations de Java, elle permet un déni de service à distance.

Description

Une vulnérabilité concernant le traitement de certaines valeurs en virgule flottante affecte plusieurs implémentations de Java. Elle permet à un utilisateur malintentionné de provoquer un déni de service au moyen d'une valeur spécifique.

Solution

Se référer aux bulletins de sécurité des éditeurs pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 10 février 2011
    version initiale.
    le 16 février 2011
    ajout pour IBM Java, IBM WebSphere Application Server, et IBM Websphere Portal.
    le 22 février 2011
    ajout des références aux bulletins de sécurité IBM i5/OS et IBM OS/400.
    le 24 février 2011
    ajout de la référence au bulletin de sécurité IBM CICS.
    le 01 mars 2011
    ajout de la référence au bulletin de sécurité HP c02729756.
    le 11 mars 2011
    ajout de la référence au bulletin HP OpenView Network Node Manager.
    le 05 avril 2011
    ajout de la référence au bulletin IBM swg21474615 Tivoli Directory Server.
    le 17 mai 2011
    ajout de la référence au bulletin Hitachi HS11-008.