检测

Ubuntu 16.04 LTS:OpenJDK 8 漏洞 (USN-3613-1)

high Nessus 插件 ID 108793

语言:

简介

远程 Ubuntu 主机缺少一个或多个安全更新。

描述

发现 OpenJDK 的密码实施存在争用条件。攻击者可能利用此问题泄露敏感信息。(CVE-2018-2579)

发现 OpenJDK 的 Hotspot 组件未能正确验证 invokeinterface JVM 指令的使用。攻击者可能利用此问题访问未授权资源。
(CVE-2018-2582)

发现 OpenJDK 的 LDAP 实施未能正确编码登录名。远程攻击者可能利用此问题暴露敏感信息。(CVE-2018-2588)

发现 OpenJDK 的 DNS 客户端实施未能正确随机化来源端口。远程攻击者可利用此问题伪造来源于 Java 应用程序的 DNS 查询响应。
(CVE-2018-2599)

发现 OpenJDK 的 Internationalization 组件在加载资源绑定类时,未能限制搜索路径。本地攻击者可利用此问题诱骗用户运行恶意代码。(CVE-2018-2602)

发现 OpenJDK 在解析 DER 输入时,未能正确限制内存分配。远程攻击者可能利用此问题造成拒绝服务。(CVE-2018-2603)

发现 OpenJDK 的 Java Cryptography Extension (JCE) 实施在一些情况下未能保证密钥协议期间足够的密钥强度。攻击者可利用此问题泄露敏感信息。(CVE-2018-2618)

发现 OpenJDK 的 Java GSS 实施在一些情况中未能正确处理本地 GSS 库的 GSS 环境。攻击者可能利用此问题访问未授权资源。(CVE-2018-2629)

发现 OpenJDK 的 LDAP 实施在某些情况下未能正确处理 LDAP 转介。攻击者可利用此问题暴露敏感信息或获取未授权权限。(CVE-2018-2633)

发现 OpenJDK 的 Java GSS 实施在一些情况中未能正确应用主题证书。攻击者可能利用此问题暴露敏感信息或获取未授权资源访问权。(CVE-2018-2634)

发现 OpenJDK 的 Java Management Extensions (JMX) 组件在一些情况中未能正确应用反序列化筛选。攻击者可利用此问题绕过反序列化限制。(CVE-2018-2637)

发现 OpenJDK 的 AWT 组件在加载 GTK 库时存在释放后使用漏洞。攻击者可能利用此问题执行任意代码并避开 Java 沙盒限制。(CVE-2018-2641)

发现 OpenJDK 在一些情况下,执行反序列化时未能正确验证对象。攻击者可利用此问题造成拒绝服务(应用程序崩溃或内存过多消耗)。(CVE-2018-2663)

发现 OpenJDK 的 AWT 组件在反序列化某些对象时,未能正确限制内存分配数量。攻击者可利用此问题造成拒绝服务(内存过多消耗)。(CVE-2018-2677)

发现 OpenJDK 的 JNDI 组件在一些情况中,反序列化对象时未能正确限制内存分配数量。攻击者可利用此问题造成拒绝服务(内存过多消耗)。(CVE-2018-2678)

请注意,Tenable Network Security 已直接从 Ubuntu 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下,尽可能进行自动清理和排版。

解决方案

更新受影响的程序包。

另见

https://ubuntu.com/security/notices/USN-3613-1

插件详情

严重性: High

ID: 108793

文件名: ubuntu_USN-3613-1.nasl

版本: 1.6

类型: local

代理: unix

发布时间: 2018/4/3

最近更新时间: 2023/10/20

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: High

分数: 7.3

CVSS v2

风险因素: Medium

基本分数: 5.8

时间分数: 4.3

矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N

CVSS 分数来源: CVE-2018-2637

CVSS v3

风险因素: High

基本分数: 8.3

时间分数: 7.2

矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

CVSS 分数来源: CVE-2018-2633

漏洞信息

CPE: p-cpe:/a:canonical:ubuntu_linux:openjdk-8-jdk, p-cpe:/a:canonical:ubuntu_linux:openjdk-8-jdk-headless, p-cpe:/a:canonical:ubuntu_linux:openjdk-8-jre, p-cpe:/a:canonical:ubuntu_linux:openjdk-8-jre-headless, p-cpe:/a:canonical:ubuntu_linux:openjdk-8-jre-jamvm, p-cpe:/a:canonical:ubuntu_linux:openjdk-8-jre-zero, p-cpe:/a:canonical:ubuntu_linux:openjdk-8-source, cpe:/o:canonical:ubuntu_linux:16.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:openjdk-8-demo

必需的 KB 项: Host/cpu, Host/Debian/dpkg-l, Host/Ubuntu, Host/Ubuntu/release

易利用性: No known exploits are available

补丁发布日期: 2018/4/2

漏洞发布日期: 2018/1/18

参考资料信息

CVE: CVE-2018-2579, CVE-2018-2582, CVE-2018-2588, CVE-2018-2599, CVE-2018-2602, CVE-2018-2603, CVE-2018-2618, CVE-2018-2629, CVE-2018-2633, CVE-2018-2634, CVE-2018-2637, CVE-2018-2641, CVE-2018-2663, CVE-2018-2677, CVE-2018-2678

USN: 3613-1