Fedora 16:java-1.6.0-openjdk-1.6.0.0-60.1.10.4.fc16 (2011-15020) (BEAST)

critical Nessus 插件 ID 56719
全新!插件严重性现在使用 CVSS v3

计算的插件严重性默认已更新为使用 CVSS v3。没有 CVSS v3 分数的插件将回退到 CVSS v2 来计算严重性。可以在设置下拉列表中切换严重性显示首选项。

简介

远程 Fedora 主机缺少安全更新。

描述

更新到最新的上游缺陷补丁版本。

- 安全补丁

- S7000600、CVE-2011-3547:InputStream skip() 信息泄漏

- S7019773、CVE-2011-3548:可变的静态 AWTKeyStroke.ctor

- S7023640、CVE-2011-3551:Java2D TransformHelper 整数溢出

- S7032417、CVE-2011-3552:在 SecurityManager 下有过多的默认 UDP 套接字限制

- S7046794、CVE-2011-3553:JAX-WS 堆栈跟踪信息泄漏

- S7046823、CVE-2011-3544:在脚本引擎中缺少 SecurityManager 检查

- S7055902、CVE-2011-3521:IIOP 反序列化代码执行

- S7057857、CVE-2011-3554:不充分的 pack200 JAR 文件解压错误检查

- S7064341、CVE-2011-3389:HTTPS:针对 SSL/TLS (BEAST) 的分块选择明文攻击

- S7070134、CVE-2011-3558:HotSpot 因来自 PorterStemmer 的 sigsegv 而崩溃

- S7077466、CVE-2011-3556:RMI DGC 服务器远程代码执行

- S7083012、CVE-2011-3557:RMI 寄存器特权代码执行

- S7096936、CVE-2011-3560:HttpsURLConnection 中缺少 checkSetFactory 调用

- 缺陷补丁

- RH727195:日语字体映射损坏

- 向后移植

- S6826104、RH730015:点击应用程序与工具包模式对话框时出现空指针异常

- Zero/Shark

- PR690:Shark 无法使用 hs20 进行 JIT。

- PR696:Zero 无法处理 hs20 中的 fast_aldc 和 fast_aldc_w。

- 已针对最新 glibc 库上的可构建性添加 Patch6 作为 S7103224 的(可能是暂时的)解决方案。

请注意,Tenable Network Security 已直接从 Fedora 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。

解决方案

更新受影响的 java-1.6.0-openjdk 程序包。

另见

https://bugzilla.redhat.com/show_bug.cgi?id=737506

https://bugzilla.redhat.com/show_bug.cgi?id=745379

https://bugzilla.redhat.com/show_bug.cgi?id=745387

https://bugzilla.redhat.com/show_bug.cgi?id=745391

https://bugzilla.redhat.com/show_bug.cgi?id=745397

https://bugzilla.redhat.com/show_bug.cgi?id=745399

https://bugzilla.redhat.com/show_bug.cgi?id=745442

https://bugzilla.redhat.com/show_bug.cgi?id=745447

https://bugzilla.redhat.com/show_bug.cgi?id=745459

https://bugzilla.redhat.com/show_bug.cgi?id=745464

https://bugzilla.redhat.com/show_bug.cgi?id=745473

https://bugzilla.redhat.com/show_bug.cgi?id=745476

https://bugzilla.redhat.com/show_bug.cgi?id=745492

http://www.nessus.org/u?245b2342

插件详情

严重性: Critical

ID: 56719

文件名: fedora_2011-15020.nasl

版本: 1.24

类型: local

代理: unix

发布时间: 2011/11/7

最近更新时间: 2021/1/11

依存关系: ssh_get_info.nasl

风险信息

VPR

风险因素: Critical

分数: 9.9

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.8

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

时间矢量: CVSS2#E:POC/RL:OF/RC:C

漏洞信息

CPE: cpe:2.3:o:fedoraproject:fedora:16:*:*:*:*:*:*:*, p-cpe:2.3:a:fedoraproject:fedora:java-1.6.0-openjdk:*:*:*:*:*:*:*

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2011/10/28

可利用的方式

CANVAS (CANVAS)

Core Impact

Metasploit (Java RMI Server Insecure Default Configuration Java Code Execution)

参考资料信息

CVE: CVE-2011-3544, CVE-2011-3389, CVE-2011-3521, CVE-2011-3547, CVE-2011-3548, CVE-2011-3551, CVE-2011-3552, CVE-2011-3553, CVE-2011-3554, CVE-2011-3556, CVE-2011-3557, CVE-2011-3558, CVE-2011-3560

BID: 49778, 50211, 50215, 50216, 50218, 50224, 50231, 50234, 50236, 50242, 50243, 50246, 50248

FEDORA: 2011-15020