Conditions d'utilisation de ce document :	http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document :	http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-079

Gestion du document

Tableau 1: Gestion du document

Référence	CERTA-2011-AVI-079-007
Titre	Vulnérabilité dans plusieurs implémentations de Java
Date de la première version	10 février 2011
Date de la dernière version	17 mai 2011
Source(s)	Avis de mise à jour Oracle concernant la référence CVE CVE-2010-4476
	Bulletins de sécurité IBM Java IZ94331, IZ94423, et PM31983
	Bulletins de sécurité IBM WebSphere Application Server Java PM32177,
	PM32175, PM32192, PM32173, PM32184, PM32194, PM32238, PM32254, PM32272,
	et PM32387
	Bulletin de sécurité IBM CICS 1462384
	Bulletin de sécurité HP c02729756 du 23 février 2011
	Bulletin de sécurité IBM swg21474615 du 31 mars 2011
	Bulletin de sécurité Hitachi HS11-008 du 16 mai 2011
Pièce(s) jointe(s)	Aucune

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

Déni de service.

2 Systèmes affectés

Java SE, JDK et JRE 6 mise à jour 23 et versions antérieures pour Windows, Solaris et Linux ;
Java SE, JDK 5.0 mise à jour 27 et versions antérieures pour Solaris 9 ;
Java SE, SDK 1.4.2_29 et versions antérieures pour Solaris 8 ;
Java for Business, JDK et JRE 6 mise à jour 23 et versions antérieures pour Windows Solaris et Linux ;
Java for Business, JDK et JRE 5.0 mise à jour 27 et versions antérieures pour Windows Solaris et Linux ;
Java for Business, SDK et JRE 1.4.2_29 et versions antérieures pour Windows Solaris et Linux ;
IBM WebSphere Application Server 6.0.x, 6.1.x et 7.0.x ;
IBM WebSphere Portal 6.x et 7.x ;
IBM CICS Transaction Server 3.1, 3.2 et 4.1 ;
HP-UX 11.11, 11.23 et 11.31 ;
Tivoli Directory Server 5.1.3.2, 6.1, 6.1.1, 6.1.1.1 et 6.1.1.2 ;
Hitachi JP1/Automatic Job Management System ;
Hitachi JP1/Cm2/Network Node Manager ;
Hitachi JP1/Cm2/SNMP System Observer ;
Hitachi JP1/Integrated Management (IM) ;
Hitachi JP1/IT Ressource Management ;
Hitachi JP1/Performance Management (PFM) ;
Hitachi JP1/ServerConductor/Control Manager.

3 Résumé

Une vulnérabilité affecte plusieurs implémentations de Java, elle permet un déni de service à distance.

4 Description

Une vulnérabilité concernant le traitement de certaines valeurs en virgule flottante affecte plusieurs implémentations de Java. Elle permet à un utilisateur malintentionné de provoquer un déni de service au moyen d'une valeur spécifique.

5 Solution

Se référer aux bulletins de sécurité des éditeurs pour l'obtention des correctifs (cf. section Documentation).

6 Documentation

Avis de mise à jour Oracle concernant la référence CVE CVE-2010-4476 du 08 février 2011 :
```
http://www.oracle.com/technetwork/topics/security/alert-cve-2010-4476-305811.html
```

Bulletins de sécurité IBM Java IZ94331, IZ94423, et PM31983 :

http://www.ibm.com/support/docview.wss?uid=swg1IZ94331

http://www.ibm.com/support/docview.wss?uid=swg1IZ94423

http://www.ibm.com/support/docview.wss?uid=swg1PM31983

Bulletins de sécurité IBM WebSphere Application Server Java PM32177, PM32175, PM32192, PM32173, PM32184, PM32194, PM32238, PM32254, PM32272, et PM32387 :

http://www.ibm.com/support/docview.wss?uid=swg24029090

http://www.ibm.com/support/docview.wss?uid=swg24029103

http://www.ibm.com/support/docview.wss?uid=swg24029102

http://www.ibm.com/support/docview.wss?uid=swg21462019

http://www.ibm.com/support/docview.wss?uid=swg24029112

http://www.ibm.com/support/docview.wss?uid=swg21462136

Bulletins de sécurité IBM i5/OS et IBM OS/400 du 19 février 2011 :

http://www.ibm.com/support/docview.wss?uid=nas239097234bdef0f0086257837004234ff

http://www.ibm.com/support/docview.wss?uid=nas2e3651fd2836659b88625783700423505

http://www.ibm.com/support/docview.wss?uid=nas24394745ae41518b88625783700423513

http://www.ibm.com/support/docview.wss?uid=nas2a5e8722f285b693586257837004234f7

http://www.ibm.com/support/docview.wss?uid=nas22c04013ef2a6aba98625783700423520

http://www.ibm.com/support/docview.wss?uid=nas274b0e6114eba807a8625783700423519

http://www.ibm.com/support/docview.wss?uid=nas2bbd9eef75e33a6ec862578370042350b

Bulletin de sécurité IBM CICS 1462384 du 22 février 2011 :
```
http://www.ibm.com/support/docview.wss?uid=swg21462384
```

Bulletin de sécurité HP c02729756 du 23 février 2011 :

http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02729756

Bulletin de sécurtié HP OpenView Network Node Manager :

http://itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c02738573

Bulletin de sécurité IBM swg21174615 du 31 mars 2011:
```
http://www-01.ibm.com/support/docview.wss?uid=swg21474615
```

Bulletin de sécurité Hitachi HS11-008 du 16 mai 2011:

http://www.hitachi.co.jp/Prod/comp/soft1/security/info/vuls/HS11-008/index.html

Référence CVE CVE-2010-4476 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4476

Gestion détaillée du document

10 février 2011: version initiale.
16 février 2011: ajout pour IBM Java, IBM WebSphere Application Server, et IBM Websphere Portal.
22 févier 2011: ajout des références aux bulletins de sécurité IBM i5/OS et IBM OS/400.
24 févier 2011: ajout de la référence au bulletin de sécurité IBM CICS.
01 mars 2011: ajout de la référence au bulletin de sécurité HP c02729756.
11 mars 2011: ajout de la référence au bulletin HP OpenView Network Node Manager.
05 avril 2011: ajout de la référence au bulletin IBM swg21474615 Tivoli Directory Server.
17 mai 2011: ajout de la référence au bulletin Hitachi HS11-008.

CERTA
2012-01-04

Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information

webmestre

Dernière mise à jour : le 25/05/2012

Centre d'Expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques

Centre d'Expertise Gouvernemental de
Réponse et de Traitement des Attaques informatiques