Debian DSA-2507-1:openjdk-6 多个漏洞
critical Nessus 插件 ID 59839
语言:
简介
远程 Debian 主机缺少与安全相关的更新。描述
已在 OpenJDK(Oracle Java 平台的实现)中发现多个漏洞。- CVE-2012-1711 CVE-2012-1719 CORBA 实现中的多种错误可导致 Java 沙盒中断。
- CVE-2012-1713 字体管理器中缺少的输入审查可导致任意代码执行。
- CVE-2012-1716 SynthLookAndFeel Swing 类可被滥用于中断 Java 沙盒。
- CVE-2012-1717 以不安全的方式创建了多个临时文件,从而导致本地信息泄露。
- CVE-2012-1718 以错误的方式实现了证书吊销列表。
- CVE-2012-1723 CVE-2012-1725 Hotspot VM 的字节码校验器中的验证错误可导致 Java 沙盒中断。
- CVE-2012-1724 XML 解析器中缺少的输入审查可通过无限循环导致拒绝服务。
解决方案
升级 openjdk-6 程序包。对于稳定发行版本 (squeeze),已在版本 6b18-1.8.13-0+squeeze2 中修复了此问题。
另见
https://security-tracker.debian.org/tracker/CVE-2012-1717
https://security-tracker.debian.org/tracker/CVE-2012-1718
https://security-tracker.debian.org/tracker/CVE-2012-1723
https://security-tracker.debian.org/tracker/CVE-2012-1725
https://security-tracker.debian.org/tracker/CVE-2012-1724
https://packages.debian.org/source/squeeze/openjdk-6
https://www.debian.org/security/2012/dsa-2507
https://security-tracker.debian.org/tracker/CVE-2012-1711
https://security-tracker.debian.org/tracker/CVE-2012-1719
插件详情
严重性: Critical
ID: 59839
文件名: debian_DSA-2507.nasl
版本: 1.19
类型: local
代理: unix
发布时间: 2012/7/5
最近更新时间: 2022/3/8
支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus
风险信息
VPR
风险因素: Critical
分数: 9.9
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 8.7
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
漏洞信息
CPE: p-cpe:/a:debian:debian_linux:openjdk-6, cpe:/o:debian:debian_linux:6.0
必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
可利用: true
易利用性: Exploits are available
补丁发布日期: 2012/7/4
CISA 已知可遭利用的漏洞到期日期: 2022/3/24
可利用的方式
Core Impact
Metasploit (Java Applet Field Bytecode Verifier Cache Remote Code Execution)
参考资料信息
CVE: CVE-2012-1711, CVE-2012-1713, CVE-2012-1716, CVE-2012-1717, CVE-2012-1718, CVE-2012-1719, CVE-2012-1723, CVE-2012-1724, CVE-2012-1725
BID: 53946, 53947, 53949, 53950, 53951, 53952, 53954, 53958, 53960
DSA: 2507