Amazon Linux 2 : java-1.8.0-openjdk (ALAS-2018-1002)

high Nessus 插件 ID 109363

语言：

简介

远程 Amazon Linux 2 主机缺少安全更新。

描述

在 Container 中的反序列化期间发生无限内存分配 (AWT, 8189989) Oracle Java SE 的 Java SE、Java SE Embedded、JRockit 组件中存在一个漏洞（子组件：AWT）。支持的版本中受影响的是 Java SE：6u181、7u171、8u162 和 10；Java SE Embedded：8u161；JRockit：R28.3.17。可轻松利用的漏洞允许未经身份验证的攻击者通过多种协议进行网络访问，从而破坏 Java SE、Java SE Embedded、JRockit。成功攻击此漏洞可导致在未经授权的情况下造成 Java SE、Java SE Embedded、JRockit 部分拒绝服务（部分 DOS）。注意：适用于 Java 客户端和服务器部署。此漏洞能通过需要在沙盒中运行的 Java Web Start 应用程序和需要在沙盒中运行的 Java 小程序加以利用。它也可通过向指定组件中的 API 提供数据而遭到利用，不使用需要在沙盒中运行的 Java Web Start 应用程序或需要在沙盒中运行的 Java 小程序，例如通过 Web 服务。(CVE-2018-2798) 在 StubIORImpl 中的反序列化期间发生无限内存分配 (Serialization, 8192757) Oracle Java SE 的 Java SE、Java SE Embedded、JRockit 组件中存在一个漏洞（子组件：Serialization）。支持的版本中受影响的是 Java SE：6u181、7u171、8u162 和 10；Java SE Embedded：8u161；JRockit：R28.3.17。可轻松利用的漏洞允许未经身份验证的攻击者通过多种协议进行网络访问，从而破坏 Java SE、Java SE Embedded、JRockit。成功攻击此漏洞可导致在未经授权的情况下造成 Java SE、Java SE Embedded、JRockit 部分拒绝服务（部分 DOS）。注意：适用于 Java 客户端和服务器部署。此漏洞能通过需要在沙盒中运行的 Java Web Start 应用程序和需要在沙盒中运行的 Java 小程序加以利用。它也可通过向指定组件中的 API 提供数据而遭到利用，不使用需要在沙盒中运行的 Java Web Start 应用程序或需要在沙盒中运行的 Java 小程序，例如通过 Web 服务。(CVE-2018-2815) JCEKS 密钥库数据的不受限制反序列化 (Security, 8189997) Oracle Java SE 的 Java SE、JRockit 组件中存在一个漏洞（子组件：Security）。支持的版本中受影响的是 Java SE：6u181、7u171、8u162、10 和 JRockit：R28.3.17。难以利用的漏洞允许未经身份验证的攻击者登录 Java SE、JRockit 执行的基础结构，从而破坏 Java SE、JRockit。除攻击者以外的他人进行交互是实现成功攻击的必要条件，尽管漏洞存在于 Java SE、JRockit 中，但攻击也可能会严重影响其他产品。此漏洞如攻击成功，将导致Java SE、JRockit 被接管。注意：适用于 Java 客户端和服务器部署。此漏洞能通过需要在沙盒中运行的 Java Web Start 应用程序和需要在沙盒中运行的 Java 小程序加以利用。它也可通过向指定组件中的 API 提供数据而遭到利用，不使用需要在沙盒中运行的 Java Web Start 应用程序或需要在沙盒中运行的 Java 小程序，例如通过 Web 服务。(CVE-2018-2794) 多个类别的反序列化中一致性检查不足 (Security, 8189977) Oracle Java SE 的 Java SE、Java SE Embedded、JRockit 组件中存在一个漏洞（子组件：Security）。支持的版本中受影响的是 Java SE：6u181、7u171、8u162 和 10；Java SE Embedded：8u161；JRockit：R28.3.17。可轻松利用的漏洞允许未经身份验证的攻击者通过多种协议进行网络访问，从而破坏 Java SE、Java SE Embedded、JRockit。成功攻击此漏洞可导致在未经授权的情况下造成 Java SE、Java SE Embedded、JRockit 部分拒绝服务（部分 DOS）。注意：适用于 Java 客户端和服务器部署。此漏洞能通过需要在沙盒中运行的 Java Web Start 应用程序和需要在沙盒中运行的 Java 小程序加以利用。它也可通过向指定组件中的 API 提供数据而遭到利用，不使用需要在沙盒中运行的 Java Web Start 应用程序或需要在沙盒中运行的 Java 小程序，例如通过 Web 服务。(CVE-2018-2795) 在 NamedNodeMapImpl 中进行反序列化期间发生无限内存分配 (JAXP, 8189993) Oracle Java SE 的 Java SE、Java SE Embedded、JRockit 组件中存在一个漏洞（子组件：JAXP）。支持的版本中受影响的是 Java SE：7u171、8u162 和 10；Java SE Embedded：8u161；JRockit：R28.3.17。可轻松利用的漏洞允许未经身份验证的攻击者通过多种协议进行网络访问，从而破坏 Java SE、Java SE Embedded、JRockit。成功攻击此漏洞可导致在未经授权的情况下造成 Java SE、Java SE Embedded、JRockit 部分拒绝服务（部分 DOS）。注意：适用于 Java 客户端和服务器部署。此漏洞能通过需要在沙盒中运行的 Java Web Start 应用程序和需要在沙盒中运行的 Java 小程序加以利用。它也可通过向指定组件中的 API 提供数据而遭到利用，不使用需要在沙盒中运行的 Java Web Start 应用程序或需要在沙盒中运行的 Java 小程序，例如通过 Web 服务。(CVE-2018-2799) 默认启用 RMI HTTP 传输 (RMI, 8193833) Oracle Java SE 的 Java SE、JRockit 组件中存在一个漏洞（子组件：RMI）。支持的版本中受影响的是 Java SE：6u181、7u171 和 8u162；JRockit：R28.3.17。难以利用的漏洞允许未经身份验证的攻击者通过多种协议进行网络访问，从而破坏 Java SE、JRockit。除攻击者以外的他人进行交互是实现成功攻击的必要条件。成功攻击此漏洞可导致在未经授权的情况下更新、插入或删除某些 Java SE、JRockit 可访问数据的访问权限，以及对 Java SE、JRockit 可访问数据子集进行未经授权的读取访问。注意：此漏洞只能通过向指定组件中的 API 提供数据而遭到利用，不使用不可信的 Java Web Start 应用程序或不可信的 Java 小程序，例如通过 Web 服务。(CVE-2018-2800) 错误处理参考克隆可导致沙盒绕过 (Hotspot, 8192025) Oracle Java SE 的 Java SE、Java SE Embedded 组件中存在一个漏洞（子组件：Hotspot）。支持的版本中受影响的是 Java SE：6u181、7u171、8u162 和 10；Java SE Embedded：8u161。难以利用的漏洞允许未经身份验证的攻击者通过多种协议进行网络访问，从而破坏 Java SE、Java SE Embedded。除攻击者以外的他人进行交互是实现成功攻击的必要条件，尽管漏洞存在于 Java SE、Java SE Embedded 中，但攻击也可能会严重影响其他产品。成功攻击此漏洞可导致接管 Java SE、Java SE Embedded。注意：此漏洞适用于需加载并运行不可信代码（如来自互联网的代码）且安全性依赖于 Java 沙盒的 Java 部署，该部署通常在需在沙盒中运行 Java Web Start 应用程序或需在沙盒中运行 Java 小程序的客户端上。此漏洞不适用于 Java 部署，通常在仅加载并运行可信代码（如管理员安装的代码）的服务器上。(CVE-2018-2814) 在 TabularDataSupport 中进行反序列化期间发生无限内存分配 (JMX, 8189985) Oracle Java SE 的 Java SE、Java SE Embedded、JRockit 组件中存在一个漏洞（子组件：JMX）。支持的版本中受影响的是 Java SE：6u181、7u171、8u162 和 10；Java SE Embedded：8u161；JRockit：R28.3.17。可轻松利用的漏洞允许未经身份验证的攻击者通过多种协议进行网络访问，从而破坏 Java SE、Java SE Embedded、JRockit。成功攻击此漏洞可导致在未经授权的情况下造成 Java SE、Java SE Embedded、JRockit 部分拒绝服务（部分 DOS）。注意：适用于 Java 客户端和服务器部署。此漏洞能通过需要在沙盒中运行的 Java Web Start 应用程序和需要在沙盒中运行的 Java 小程序加以利用。它也可通过向指定组件中的 API 提供数据而遭到利用，不使用需要在沙盒中运行的 Java Web Start 应用程序或需要在沙盒中运行的 Java 小程序，例如通过 Web 服务。(CVE-2018-2797) 错误合并 JAR 指令清单中的区段 (Security, 8189969) Oracle Java SE 的 Java SE、Java SE Embedded 组件中存在一个漏洞（子组件：Security）。支持的版本中受影响的是 Java SE：6u181、7u171、8u162 和 10；Java SE Embedded：8u161。难以利用的漏洞允许未经身份验证的攻击者通过多种协议进行网络访问，从而破坏 Java SE、Java SE Embedded。除攻击者以外的他人进行交互是实现成功攻击的必要条件。成功攻击此漏洞可导致在未经授权的情况下更新、插入或删除某些 Java SE、Java SE 嵌入可访问数据的访问权限。注意：此漏洞适用于需加载并运行不可信代码（如来自互联网的代码）且安全性依赖于 Java 沙盒的 Java 部署，该部署通常在需在沙盒中运行 Java Web Start 应用程序或需在沙盒中运行 Java 小程序的客户端上。此漏洞不适用于 Java 部署，通常在仅加载并运行可信代码（如管理员安装的代码）的服务器上。(CVE-2018-2790) 在 PriorityBlockingQueue 中进行反序列化期间发生无限内存分配 (Concurrency, 8189981) Oracle Java SE 的 Java SE、Java SE Embedded、JRockit 组件中存在一个漏洞（子组件：Concurrency）中的漏洞。支持的版本中受影响的是 Java SE：7u171、8u162 和 10；Java SE Embedded：8u161；JRockit：R28.3.17。可轻松利用的漏洞允许未经身份验证的攻击者通过多种协议进行网络访问，从而破坏 Java SE、Java SE Embedded、JRockit。成功攻击此漏洞可导致在未经授权的情况下造成 Java SE、Java SE Embedded、JRockit 部分拒绝服务（部分 DOS）。注意：适用于 Java 客户端和服务器部署。此漏洞能通过需要在沙盒中运行的 Java Web Start 应用程序和需要在沙盒中运行的 Java 小程序加以利用。它也可通过向指定组件中的 API 提供数据而遭到利用，不使用需要在沙盒中运行的 Java Web Start 应用程序或需要在沙盒中运行的 Java 小程序，例如通过 Web 服务。(CVE-2018-2796)

解决方案

运行 'yum update java-1.8.0-openjdk' 以更新系统。

另见

https://alas.aws.amazon.com/AL2/ALAS-2018-1002.html

插件详情

严重性: High

ID: 109363

文件名: al2_ALAS-2018-1002.nasl

版本: 1.6

类型: local

代理: unix

系列: Amazon Linux Local Security Checks

发布时间: 2018/4/27

最近更新时间: 2019/7/10

支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent

风险信息

VPR

风险因素: High

分数: 7.3

CVSS v2

风险因素: Medium

基本分数: 5.1

矢量: CVSS2#AV:N/AC:H/Au:N/C:P/I:P/A:P

CVSS v3

风险因素: High

基本分数: 8.3

矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H

漏洞信息

CPE: p-cpe:/a:amazon:linux:java-1.8.0-openjdk, p-cpe:/a:amazon:linux:java-1.8.0-openjdk-accessibility, p-cpe:/a:amazon:linux:java-1.8.0-openjdk-accessibility-debug, p-cpe:/a:amazon:linux:java-1.8.0-openjdk-debug, p-cpe:/a:amazon:linux:java-1.8.0-openjdk-debuginfo, p-cpe:/a:amazon:linux:java-1.8.0-openjdk-demo, p-cpe:/a:amazon:linux:java-1.8.0-openjdk-demo-debug, p-cpe:/a:amazon:linux:java-1.8.0-openjdk-devel, p-cpe:/a:amazon:linux:java-1.8.0-openjdk-devel-debug, p-cpe:/a:amazon:linux:java-1.8.0-openjdk-headless, p-cpe:/a:amazon:linux:java-1.8.0-openjdk-headless-debug, p-cpe:/a:amazon:linux:java-1.8.0-openjdk-javadoc, p-cpe:/a:amazon:linux:java-1.8.0-openjdk-javadoc-debug, p-cpe:/a:amazon:linux:java-1.8.0-openjdk-javadoc-zip, p-cpe:/a:amazon:linux:java-1.8.0-openjdk-javadoc-zip-debug, p-cpe:/a:amazon:linux:java-1.8.0-openjdk-src, p-cpe:/a:amazon:linux:java-1.8.0-openjdk-src-debug, cpe:/o:amazon:linux:2

必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

补丁发布日期: 2018/4/26

漏洞发布日期: 2018/4/19

参考资料信息

CVE: CVE-2018-2790, CVE-2018-2794, CVE-2018-2795, CVE-2018-2796, CVE-2018-2797, CVE-2018-2798, CVE-2018-2799, CVE-2018-2800, CVE-2018-2814, CVE-2018-2815

ALAS: 2018-1002