Sun Java JRE 多种漏洞 (254569 / 254611 / 254608 ..)(Unix)

critical Nessus 插件 ID 64829
全新!插件严重性现在使用 CVSS v3

计算的插件严重性默认已更新为使用 CVSS v3。没有 CVSS v3 分数的插件将回退到 CVSS v2 来计算严重性。可以在设置下拉列表中切换严重性显示首选项。

简介

远程 Unix 主机包含受到多种漏洞影响的运行时环境。

描述

远程主机上安装的 Sun Java Runtime Environment (JRE) 版本低于 6 Update 13 / 5.0 Update 18 / 1.4.2_20 / 1.3.1_25。此类版本可能会受到以下安全问题的影响:

- 拒绝服务漏洞影响 JRE LDAP 实现。(254569)。

- JRE LDAP 实现中的远程代码执行漏洞可允许在受影响的 LDAP 客户端的上下文中运行任意代码。(254569)

- 使用“unpack2000”实用工具解包小程序和 Java Web Start 应用程序时存在多种整数和缓冲区溢出漏洞。
(254570)

- 存在与临时字体文件的存储和处理有关的多种拒绝服务漏洞。(254608)

- 反序列化小程序时一个权限升级漏洞影响 Java Plug-in。(254611)

- Java Plug-in 中的一个漏洞允许从本地主机加载的 JavaScript 连接到本地系统上的任意端口。(254611)

- Java Plug-in 中的一个漏洞允许恶意 JavaScript 代码利用已由位于同一网页上的小程序加载的 JRE 较早版本中的漏洞。(254611)

- 解析“crossdomain.xml”时 Java Plug-in 中存在的一个问题允许不受信任的小程序连接到托管“crossdomain.xml”文件的任意站点。
(254611)

- Java Plug-in 允许恶意签名的小程序隐藏安全对话的内容。(254611)

- JRE 虚拟机受到一个权限升级漏洞的影响。(254610)

- 存在多种涉及 JRE 的 PNG 和 GIF 图像处理的缓冲区溢出漏洞。
(254571)

- 存在多种涉及 JRE 的字体处理的缓冲区溢出漏洞。(254571)

- 拒绝服务漏洞影响 JRE HTTP 服务器实现,可用于造成 JAX-WS 服务端点上的拒绝服务。(254609)

解决方案

更新到 Sun Java JDK / JRE 6 Update 13、JDK / JRE 5.0 Update 18、SDK / JRE 1.4.2_20 或者 SDK / JRE 1.3.1_25 或更高版本,如有必要,删除任何受影响的版本。

另见

https://download.oracle.com/sunalerts/1020224.1.html

https://download.oracle.com/sunalerts/1020225.1.html

https://download.oracle.com/sunalerts/1020226.1.html

https://download.oracle.com/sunalerts/1020228.1.html

https://download.oracle.com/sunalerts/1020229.1.html

https://download.oracle.com/sunalerts/1020230.1.html

https://download.oracle.com/sunalerts/1020231.1.html

https://www.oracle.com/technetwork/java/javase/6u13-142696.html

https://www.oracle.com/technetwork/java/index.html

插件详情

严重性: Critical

ID: 64829

文件名: sun_java_jre_254569_unix.nasl

版本: 1.11

类型: local

系列: Misc.

发布时间: 2013/2/22

最近更新时间: 2019/12/4

依存关系: sun_java_jre_installed_unix.nasl

风险信息

CVSS 分数来源: CVE-2009-1096

VPR

风险因素: Medium

分数: 6

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.8

矢量: AV:N/AC:L/Au:N/C:C/I:C/A:C

时间矢量: E:POC/RL:OF/RC:C

漏洞信息

CPE: cpe:/a:oracle:jre

必需的 KB 项: Host/Java/JRE/Installed

可利用: true

易利用性: Exploits are available

补丁发布日期: 2009/3/24

参考资料信息

CVE: CVE-2006-2426, CVE-2009-1093, CVE-2009-1094, CVE-2009-1095, CVE-2009-1096, CVE-2009-1097, CVE-2009-1098, CVE-2009-1099, CVE-2009-1100, CVE-2009-1101, CVE-2009-1102, CVE-2009-1103, CVE-2009-1104, CVE-2009-1105, CVE-2009-1106, CVE-2009-1107

BID: 34240

CWE: 16, 20, 94, 119, 189