Oracle JRockit R28.3.14 多个漏洞(2017 年 7 月 CPU)

medium Nessus 插件 ID 101839
全新!插件严重性现在使用 CVSS v3

计算的插件严重性默认已更新为使用 CVSS v3。没有 CVSS v3 分数的插件将回退到 CVSS v2 来计算严重性。可以在设置下拉列表中切换严重性显示首选项。

简介

远程 Windows 主机上安装的编程平台受到多个漏洞的影响。

描述

远程 Windows 主机上安装的 Oracle JRockit 版本为 R28.3.14。因而会受到多个漏洞的影响:- 2D 组件中存在一个不明缺陷,允许经身份验证的远程攻击者造成拒绝服务情况。(CVE-2017-10053) - Serialization 组件中存在多个不明缺陷,允许未经身份验证的远程攻击者造成拒绝服务情况。(CVE-2017-10108, CVE-2017-10109) - JCE 组件中存在多个不明缺陷,允许未经身份验证的远程攻击者执行任意代码。(CVE-2017-10115, CVE-2017-10118, CVE-2017-10135) - Security 组件中存在不明缺陷,允许未经身份验证的远程攻击者执行任意代码。(CVE-2017-10116) - Security 组件中存在多个不明缺陷,允许未经身份验证的远程攻击者执行任意代码。(CVE-2017-10176, CVE-2017-10198) - JAX-WS 组件中存在不明缺陷,允许未经身份验证的远程攻击者泄露敏感信息或造成拒绝服务情况。(CVE-2017-10243) 注意此漏洞 (CVE-2017-10109) 适用于需加载并运行不可信代码(如来自互联网的代码)且安全性依赖于 Java 沙盒的 Java 部署,该部署通常在需在沙盒中运行 Java Web Start 应用程序或需在沙盒中运行 Java 小程序的客户端上。此漏洞不适用于 Java 部署,通常在仅加载并运行可信代码(如管理员安装的代码)的服务器上。然而,上述其他漏洞能通过需要在沙盒中运行的 Java Web Start 应用程序和需要在沙盒中运行的 Java 小程序加以利用。它们也可通过向指定组件中的 API 提供数据而遭到利用,不使用沙盒 Java Web Start 应用程序或沙盒 Java 小程序,例如通过 Web 服务。

解决方案

升级到 2017 年 7 月 Oracle 关键修补程序更新公告中提及的 JRockit R28.3.15 或更高版本。

另见

http://www.nessus.org/u?446d16c2

插件详情

严重性: Medium

ID: 101839

文件名: oracle_jrockit_cpu_jul_2017.nasl

版本: 1.8

类型: local

代理: windows

系列: Windows

发布时间: 2017/7/20

最近更新时间: 2019/11/12

依存关系: oracle_jrockit_installed.nasl

风险信息

CVSS 分数来源: CVE-2017-10243

VPR

风险因素: Medium

分数: 6.5

CVSS v2

风险因素: Medium

基本分数: 6.4

时间分数: 4.7

矢量: AV:N/AC:L/Au:N/C:P/I:N/A:P

时间矢量: E:U/RL:OF/RC:C

CVSS v3

风险因素: Medium

基本分数: 6.5

时间分数: 5.7

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:L

时间矢量: E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/a:oracle:jrockit

必需的 KB 项: installed_sw/Oracle JRockit

易利用性: No known exploits are available

补丁发布日期: 2017/7/18

漏洞发布日期: 2017/7/18

参考资料信息

CVE: CVE-2017-10053, CVE-2017-10108, CVE-2017-10109, CVE-2017-10115, CVE-2017-10116, CVE-2017-10118, CVE-2017-10135, CVE-2017-10176, CVE-2017-10198, CVE-2017-10243

BID: 99734, 99774, 99782, 99788, 99818, 99827, 99839, 99842, 99846, 99847