Sun Java JRE 多种漏洞 (254569 / 254611 / 254608 ..)

high Nessus 插件 ID 36034

语言:

简介

远程 Windows 主机包含受多种漏洞影响的运行时环境。

描述

远程主机上安装的 Sun Java Runtime Environment (JRE) 版本低于 6 Update 13 / 5.0 Update 18 / 1.4.2_20 / 1.3.1_25。此类版本可能会受到以下安全问题的影响:

- 拒绝服务漏洞影响 JRE LDAP 实现。(254569)。

- JRE LDAP 实现中存在远程代码执行漏洞,可导致在受影响的 LDAP 客户端的上下文中运行任意代码。(254569)

- 使用“unpack2000”实用工具解包小程序和 Java Web Start 应用程序时存在多种整数和缓冲区溢出漏洞。
(254570)

- 存在多个拒绝服务漏洞,这些漏洞与存储和处理临时字体文件有关。(254608)

- 反序列化小程序时,存在影响 Java Plug-in 的权限提升漏洞。(254611)

- Java Plug-in 中存在一个漏洞,允许从本地主机加载的 JavaScript 连接到本地系统上的任意端口。(254611)

- Java Plug-in 中存在一个漏洞,允许恶意 JavaScript 代码利用同一网页上小程序所加载 JRE 较早版本中的漏洞。(254611)

- 解析“crossdomain.xml”时 Java Plug-in 中存在的一个问题允许不受信任的小程序连接到托管“crossdomain.xml”文件的任意站点。
(254611)

- Java Plug-in 允许恶意签名的小程序隐藏安全对话的内容。(254611)

- JRE 虚拟机受到权限提升漏洞的影响。(254610)

- 存在多种涉及 JRE 的 PNG 和 GIF 图像处理的缓冲区溢出漏洞。
(254571)

- 存在多个缓冲区溢出漏洞,这些漏洞与 JRE 的字体处理有关。(254571)

- 存在影响 JRE HTTP 服务器实现的拒绝服务漏洞,攻击者可利用此漏洞,造成 JAX-WS 服务端点拒绝服务。(254609)

解决方案

更新到 Sun Java JDK / JRE 6 Update 13、JDK / JRE 5.0 Update 18、SDK / JRE 1.4.2_20 或者 SDK / JRE 1.3.1_25 或更高版本,如有必要,删除任何受影响的版本。

另见

https://download.oracle.com/sunalerts/1020224.1.html

https://download.oracle.com/sunalerts/1020225.1.html

https://download.oracle.com/sunalerts/1020226.1.html

https://download.oracle.com/sunalerts/1020228.1.html

https://download.oracle.com/sunalerts/1020229.1.html

https://download.oracle.com/sunalerts/1020230.1.html

https://download.oracle.com/sunalerts/1020231.1.html

https://www.oracle.com/technetwork/java/javase/6u13-142696.html

https://www.oracle.com/technetwork/java/javase/releasenotes-142123.html

http://www.nessus.org/u?d2825206

插件详情

严重性: High

ID: 36034

文件名: sun_java_jre_254569.nasl

版本: 1.27

类型: local

代理: windows

系列: Windows

发布时间: 2009/3/27

最近更新时间: 2022/4/11

支持的传感器: Nessus Agent

风险信息

VPR

风险因素: Medium

分数: 6

CVSS v2

风险因素: High

基本分数: 9.3

时间分数: 7.3

矢量: AV:N/AC:M/Au:N/C:C/I:C/A:C

时间矢量: E:POC/RL:OF/RC:C

CVSS v3

风险因素: High

基本分数: 8.8

时间分数: 7.9

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

时间矢量: E:P/RL:O/RC:C

漏洞信息

CPE: cpe:/a:oracle:jre

必需的 KB 项: SMB/Java/JRE/Installed

可利用: true

易利用性: Exploits are available

补丁发布日期: 2009/3/24

参考资料信息

CVE: CVE-2006-2426, CVE-2009-1093, CVE-2009-1094, CVE-2009-1095, CVE-2009-1096, CVE-2009-1097, CVE-2009-1098, CVE-2009-1099, CVE-2009-1100, CVE-2009-1101, CVE-2009-1102, CVE-2009-1103, CVE-2009-1104, CVE-2009-1105, CVE-2009-1106, CVE-2009-1107

BID: 34240

CWE: 16, 20, 94, 119, 189