Amazon Linux AMI : java-1.7.0-openjdk (ALAS-2017-869)

critical Nessus 插件 ID 102502
全新!插件严重性现在使用 CVSS v3

计算的插件严重性默认已更新为使用 CVSS v3。没有 CVSS v3 分数的插件将回退到 CVSS v2 来计算严重性。可以在设置下拉列表中切换严重性显示首选项。

简介

远程 Amazon Linux AMI 主机缺少安全更新。

描述

已发现 OpenJDK 的组件 RMI 中的 DCG 实现未正确处理引用。远程攻击者可能利用此缺陷,以 RMI 注册表或 Java RMI 应用程序权限执行任意代码。(CVE-2017-10102) 在 OpenJDK 的 RMI、JAXP、ImageIO、Libraries、AWT、Hotspot 和安全组件中发现多个缺陷。不受信任的 Java 应用程序或小程序可利用这些缺陷完全绕过 Java 沙盒限制。(CVE-2017-10107, CVE-2017-10096, CVE-2017-10101, CVE-2017-10089, CVE-2017-10090, CVE-2017-10087, CVE-2017-10110, CVE-2017-10074, CVE-2017-10067) 已发现 OpenJDK 安全组件中的 LDAPCertStore 类遵循 LDAP 对任意 URL 的引用。特制的 LDAP 引用 URL 可导致 LDAPCertStore 与非 LDAP 服务器通信。(CVE-2017-10116) 已发现 OpenJDK 的 JAX-WS 组件的 wsdlimport 工具在解析 WSDL XML 文件时未使用安全的 XML 解析器设置。特制的 WSDL 文档可能导致 wsdlimport 占用过多 CPU 和内存、向其他主机开放连接或泄露信息。(CVE-2017-10243) 在 OpenJDK 的 JCE 组件的 DSA 实现中发现隐蔽计时信道缺陷。可使 Java 应用程序按需生成 DSA 签名的远程攻击者,可利用此缺陷通过计时边信道提取已使用密钥的某些信息。(CVE-2017-10115) 在 OpenJDK 的 JCE 组件的 PKCS#8 实现中存在隐蔽计时信道缺陷。可使 Java 应用程序反复比较 PKCS#8 密钥与攻击者控制值的远程攻击者,可利用此缺陷通过计时边信道确定密钥。(CVE-2017-10135) 已发现 OpenJDK 中的 BasicAttribute 类和 CodeSource 类在从序列化表单中创建对象实例时未限制分配的内存数量。特制的序列化输入流可能导致 Java 占用过多内存。(CVE-2017-10108, CVE-2017-10109) 在 OpenJDK 的 Hotspot 组件中发现缺陷。不受信任的 Java 应用程序或小程序可利用此缺陷绕过某些 Java 沙盒限制。(CVE-2017-10081) 已发现在某些情况下,OpenJDK 的 2D 组件中的 JPEGImageReader 实现会读取所有图像数据,即使是随后不会使用的图像数据。特制的图像可以导致 Java 应用程序临时占用过多 CPU 和内存。(CVE-2017-10053)

解决方案

运行 'yum update java-1.7.0-openjdk' 以更新系统。

另见

https://alas.aws.amazon.com/ALAS-2017-869.html

插件详情

严重性: Critical

ID: 102502

文件名: ala_ALAS-2017-869.nasl

版本: 3.6

类型: local

代理: unix

发布时间: 2017/8/16

最近更新时间: 2019/7/10

依存关系: ssh_get_info.nasl

风险信息

VPR

风险因素: High

分数: 7.3

CVSS v2

风险因素: Medium

基本分数: 6.8

矢量: AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS v3

风险因素: Critical

基本分数: 9.6

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

漏洞信息

CPE: p-cpe:/a:amazon:linux:java-1.7.0-openjdk, p-cpe:/a:amazon:linux:java-1.7.0-openjdk-debuginfo, p-cpe:/a:amazon:linux:java-1.7.0-openjdk-demo, p-cpe:/a:amazon:linux:java-1.7.0-openjdk-devel, p-cpe:/a:amazon:linux:java-1.7.0-openjdk-javadoc, p-cpe:/a:amazon:linux:java-1.7.0-openjdk-src, cpe:/o:amazon:linux

必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

补丁发布日期: 2017/8/15

漏洞发布日期: 2017/8/8

参考资料信息

CVE: CVE-2017-10053, CVE-2017-10067, CVE-2017-10074, CVE-2017-10081, CVE-2017-10087, CVE-2017-10089, CVE-2017-10090, CVE-2017-10096, CVE-2017-10101, CVE-2017-10102, CVE-2017-10107, CVE-2017-10108, CVE-2017-10109, CVE-2017-10110, CVE-2017-10115, CVE-2017-10116, CVE-2017-10135, CVE-2017-10243

ALAS: 2017-869