Oracle Java SE 多个漏洞(2018 年 10 月 CPU)

critical Nessus 插件 ID 118228

简介

远程 Windows 主机包含受多个漏洞影响的编程平台。

描述

远程主机上安装的 Oracle(旧称 Sun)Java SE 或 Java for Business 的版本低于 11 Update 1、8 Update 191、7 Update 201 或 6 Update 211。因而会受到与下述组件相关的多个漏洞的影响:- Java SE、Java SE Embedded 组件内 Oracle Java SE 的 Deployment (libpng) 子组件中的不明漏洞可让具有网络访问权的未经身份验证远程攻击者,通过 HTTP 危害 Java SE、Java SE Embedded。(CVE-2018-13785) - Java SE、Java SE Embedded 组件内 Oracle Java SE 的 Hotspot 子组件中的不明漏洞可让具有网络访问权的未经身份验证的远程攻击者,通过多个协议危害 Java SE 或 Java SE Embedded。(CVE-2018-3169) - Java SE 组件内 Oracle Java SE 的 JavaFX 子组件中的不明漏洞可让具有网络访问权的未经验证远程攻击者,通过多个协议危害 Java SE。(CVE-2018-3209) - Java SE、Java SE Embedded、JRockit 组件内 Oracle Java SE 的 JNDI 子组件中的不明漏洞可让具有网络访问权的未经身份验证的远程攻击者,通过多个协议危害 Java SE、Java SE Embedded 或 JRockit。(CVE-2018-3149) - 在 Oracle Java SE 中,Java SE、Java SE Embedded 和 JRockit 组件的 JSSE 子组件中存在不明漏洞,允许具有网络访问权限的未经身份验证远程攻击者通过 SSL/TLS 危害 Java SE、Java SE Embedded 或 JRockit。(CVE-2018-3180) - Java SE、Java SE Embedded 组件内 Oracle Java SE 的 Networking 子组件中的不明漏洞可让具有网络访问权的未经身份验证的远程攻击者,通过多个协议危害 Java SE 或 Java SE Embedded。(CVE-2018-3139) - Java SE、Java SE Embedded、JRockit 组件内 Oracle Java SE 的 Scripting 子组件中的不明漏洞可让具有网络访问权的未经身份验证的远程攻击者,通过多个协议危害 Java SE、Java SE Embedded 或 JRockit。(CVE-2018-3183) - Java SE、Java SE Embedded 组件内 Oracle Java SE 的 Security 子组件中的不明漏洞可让具有网络访问权的未经身份验证的远程攻击者,通过多个协议危害 Java SE 或 Java SE Embedded。(CVE-2018-3136) - 在 Oracle Java SE 中,Java SE、Java SE Embedded 组件的 Serviceability 子组件中存在不明漏洞,允许低权限攻击者登入 Java SE、Java SE Embedded 执行所在的基础架构,以危害 Java SE、Java SE Embedded。(CVE-2018-3211) - Java SE 组件内 Oracle Java SE 的 Sound 子组件中的不明漏洞可让具有网络访问权的未经验证远程攻击者,通过多个协议危害 Java SE。(CVE-2018-3157) - Java SE 组件内 Oracle Java SE 的 Utility 子组件中的不明漏洞可让具有网络访问权的未经验证远程攻击者,通过多个协议危害 Java SE。(CVE-2018-3150) 请参阅相关 CVE 的 CVRF 详细说明以获取更多信息。Nessus 并未测试这些问题,而是只依赖于应用程序自我报告的版本号。

解决方案

升级到 Oracle JDK / JRE 11 Update 1、8 Update 191 / 7 Update 201 / 6 Update 211 或更高版本。如有必要,删除所有受影响的版本。请注意,需与 Oracle 达成扩展支持合同,方可获取 JDK / JRE 6 Update 95 或更高版本。

另见

http://www.nessus.org/u?705136d8

http://www.nessus.org/u?278f2590

http://www.nessus.org/u?adc8ef52

http://www.nessus.org/u?2fbcacca

http://www.nessus.org/u?de812f33

插件详情

严重性: Critical

ID: 118228

文件名: oracle_java_cpu_oct_2018.nasl

版本: 1.5

类型: local

代理: windows

系列: Windows

发布时间: 2018/10/19

最近更新时间: 2022/4/11

配置: 启用全面检查

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: High

分数: 7.3

CVSS v2

风险因素: Medium

基本分数: 6.8

时间分数: 5

矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2018-3183

CVSS v3

风险因素: Critical

基本分数: 9

时间分数: 7.8

矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/a:oracle:jre, cpe:/a:oracle:jdk

必需的 KB 项: SMB/Java/JRE/Installed

易利用性: No known exploits are available

补丁发布日期: 2018/10/16

漏洞发布日期: 2018/10/16

参考资料信息

CVE: CVE-2018-13785, CVE-2018-3136, CVE-2018-3139, CVE-2018-3149, CVE-2018-3150, CVE-2018-3157, CVE-2018-3169, CVE-2018-3180, CVE-2018-3183, CVE-2018-3209, CVE-2018-3211, CVE-2018-3214

BID: 105590, 105591, 105595, 105597, 105599, 105601, 105602, 105608, 105615, 105617, 105622, 105587