Oracle Java SE 多个漏洞(2017 年 7 月 CPU)

critical Nessus 插件 ID 101843

简介

远程 Windows 主机包含受多个漏洞影响的编程平台。

描述

远程主机上安装的 Oracle(旧称 Sun)Java SE 或 Java for Business 的版本低于 8 Update 141、7 Update 151 或 6 Update 161。因而会受到多个漏洞的影响:- 2D 组件中存在一个不明缺陷,允许经身份验证的远程攻击者造成拒绝服务情况。(CVE-2017-10053) - Security 组件中存在多个不明缺陷,允许未经身份验证的远程攻击者执行任意代码。(CVE-2017-10067, CVE-2017-10116) - Hotspot 组件中存在不明缺陷,允许未经身份验证的远程攻击者执行任意代码。(CVE-2017-10074) - 脚本组件中存在不明缺陷,允许经身份验证的远程攻击者影响机密性和完整性。(CVE-2017-10078) - Hotspot 组件中存在不明缺陷,允许未经身份验证的远程攻击者影响完整性。(CVE-2017-10081) - JavaFX 组件中存在多个不明缺陷,允许未经身份验证的远程攻击者执行任意代码。(CVE-2017-10086, CVE-2017-10114) - Libraries 组件中存在多个不明缺陷,允许未经身份验证的远程攻击者执行任意代码。(CVE-2017-10087, CVE-2017-10090, CVE-2017-10111) - ImageIO 组件中存在不明缺陷,允许未经身份验证的远程攻击者执行任意代码。(CVE-2017-10089) - JAXP 组件中存在多个不明缺陷,允许未经身份验证的远程攻击者执行任意代码。(CVE-2017-10096, CVE-2017-10101) - RMI 组件中存在多个不明缺陷,允许未经身份验证的远程攻击者执行任意代码。(CVE-2017-10102, CVE-2017-10107) - Java 高级管理控制台的服务器组件中存在多个不明缺陷,允许经身份验证的远程攻击者影响机密性、完整性和可用性。(CVE-2017-10104, CVE-2017-10145) - Deployment 组件中存在不明缺陷,允许未经身份验证的远程攻击者影响完整性。(CVE-2017-10105) - Serialization 组件中存在多个不明缺陷,允许未经身份验证的远程攻击者耗尽可用内存,从而导致拒绝服务情况。(CVE-2017-10108, CVE-2017-10109) - AWT 组件中存在不明缺陷,允许未经身份验证的远程攻击者执行任意代码。(CVE-2017-10110) - JCE 组件中存在多个不明缺陷,允许未经身份验证的远程攻击者执行任意代码。(CVE-2017-10115, CVE-2017-10118, CVE-2017-10135) - Java 高级管理控制台的服务器组件中存在不明缺陷,允许未经身份验证的远程攻击者泄露敏感信息。(CVE-2017-10117) - Java 高级管理控制台的服务器组件中存在多个不明缺陷,允许未经身份验证的远程攻击者影响机密性、完整性和可用性。(CVE-2017-10121) - Deployment 组件中存在不明缺陷,允许本地攻击者影响机密性、完整性和可用性。(CVE-2017-10125) - Security 组件中存在多个不明缺陷,允许未经身份验证的远程攻击者执行任意代码。(CVE-2017-10176, CVE-2017-10193, CVE-2017-10198) - JAX-WS 组件中存在不明缺陷,允许未经身份验证的远程攻击者影响机密性和可用性。(CVE-2017-10243)

解决方案

升级到 Oracle JDK / JRE 8 Update 141 / 7 Update 151 / 6 Update 161 或更高版本。如有必要,删除所有受影响的版本。请注意,需与 Oracle 达成扩展支持合同,方可获取 JDK / JRE 6 Update 95 或更高版本。

另见

http://www.nessus.org/u?76f5def7

http://www.nessus.org/u?755142b1

http://www.nessus.org/u?2fbcacca

http://www.nessus.org/u?726f7054

插件详情

严重性: Critical

ID: 101843

文件名: oracle_java_cpu_jul_2017.nasl

版本: 1.7

类型: local

代理: windows

系列: Windows

发布时间: 2017/7/20

最近更新时间: 2022/4/11

配置: 启用全面检查

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: High

分数: 7.3

CVSS v2

风险因素: Medium

基本分数: 6.8

时间分数: 5

矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2017-10111

CVSS v3

风险因素: Critical

基本分数: 9.6

时间分数: 8.3

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/a:oracle:jre, cpe:/a:oracle:jdk

必需的 KB 项: SMB/Java/JRE/Installed

易利用性: No known exploits are available

补丁发布日期: 2017/7/18

漏洞发布日期: 2017/7/18

参考资料信息

CVE: CVE-2017-10053, CVE-2017-10067, CVE-2017-10074, CVE-2017-10078, CVE-2017-10081, CVE-2017-10086, CVE-2017-10087, CVE-2017-10089, CVE-2017-10090, CVE-2017-10096, CVE-2017-10101, CVE-2017-10102, CVE-2017-10104, CVE-2017-10105, CVE-2017-10107, CVE-2017-10108, CVE-2017-10109, CVE-2017-10110, CVE-2017-10111, CVE-2017-10114, CVE-2017-10115, CVE-2017-10116, CVE-2017-10117, CVE-2017-10118, CVE-2017-10121, CVE-2017-10125, CVE-2017-10135, CVE-2017-10145, CVE-2017-10176, CVE-2017-10193, CVE-2017-10198, CVE-2017-10243

BID: 99643, 99659, 99662, 99670, 99674, 99703, 99706, 99707, 99712, 99719, 99726, 99731, 99734, 99752, 99756, 99774, 99782, 99788, 99797, 99804, 99809, 99818, 99827, 99832, 99835, 99839, 99842, 99846, 99847, 99851, 99853, 99854