RHEL 5/6:java-1.7.0-oracle (RHSA-2013:0963)
low Nessus 插件 ID 66948
语言:
简介
远程 Red Hat 主机缺少一个或多个 java-1.7.0-oracle 安全更新。描述
远程 Redhat Enterprise Linux 5/6 主机上安装的程序包受到 RHSA-2013:0963 公告中提及的多个漏洞影响。- OpenJDK:不安全的共享内存权限(2D,8001034)(CVE-2013-1500)
- OpenJDK:生成的 HTML 中存在框架注入错误(Javadoc,8012375)(CVE-2013-1571)
- Oracle JDK:已在 7u25 中修复的不明漏洞 (Deployment)(CVE-2013-2400、CVE-2013-2437、CVE-2013-2442、CVE-2013-2462、CVE-2013-2466、CVE-2013-2468、CVE-2013-3744)
- OpenJDK:集成重做的类加载器 Apache Santuario(Libraries,6741606、8008744)(CVE-2013-2407)
- OpenJDK:JConsole SSL 支持(Serviceability,8003703)(CVE-2013-2412)
- OpenJDK:AccessControlContext 检查顺序问题(Libraries,8001330)(CVE-2013-2443)
- OpenJDK:资源拒绝服务(AWT,8001038)(CVE-2013-2444)
- OpenJDK:更好地处理内存分配错误(Hotspot,7158805)(CVE-2013-2445)
- OpenJDK:输出流访问限制(CORBA,8000642)(CVE-2013-2446)
- OpenJDK:防止泄露本地地址(Networking,8001318)(CVE-2013-2447)
- OpenJDK:改进访问限制(Sound,8006328)(CVE-2013-2448)
- OpenJDK:GnomeFileTypeDetector 路径访问检查(Libraries,8004288)(CVE-2013-2449)
- OpenJDK:ObjectStreamClass 循环引用拒绝服务(Serialization,8000638)(CVE-2013-2450)
- OpenJDK:独占端口绑定(Networking,7170730)(CVE-2013-2451)
- OpenJDK:Unique VMID(Libraries,8001033)(CVE-2013-2452)
- OpenJDK:MBeanServer Introspector 程序包访问(JMX,8008124)(CVE-2013-2453)
- OpenJDK:SerialJavaObject 程序包限制(JDBC,8009554)(CVE-2013-2454)
- OpenJDK:getEnclosing* 检查(Libraries,8007812)(CVE-2013-2455)
- OpenJDK:ObjectOutputStream 访问检查(Serialization,8008132)(CVE-2013-2456)
- OpenJDK:正确的类检查(JMX,8008120)(CVE-2013-2457)
- OpenJDK:方法句柄(Libraries,8009424)(CVE-2013-2458)
- OpenJDK:各种 AWT 整数溢出检查(AWT,8009071)(CVE-2013-2459)
- OpenJDK:跟踪访问检查不充分问题(Serviceability,8010209)(CVE-2013-2460)
- OpenJDK:缺少对有效 DOMCanonicalizationMethod 规范化算法的检查(Libraries,8014281)(CVE-2013-2461)
- OpenJDK:错误图像属性验证(2D,8012438)(CVE-2013-2463)
- Oracle JDK:已在 7u25 中修复的不明漏洞 (2D) (CVE-2013-2464)
- OpenJDK:错误图像通道验证(2D,8012597)(CVE-2013-2465)
- OpenJDK:错误图像布局验证(2D,8012601)(CVE-2013-2469)
- OpenJDK:ImagingLib 字节查找处理(2D,8011243)(CVE-2013-2470)
- OpenJDK:错误 IntegerComponentRaster 大小检查(2D,8011248)(CVE-2013-2471)
- OpenJDK:错误 ShortBandedRaster 大小检查(2D,8011253)(CVE-2013-2472)
- OpenJDK:错误 ByteBandedRaster 大小检查(2D,8011257)(CVE-2013-2473)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
依据 RHSA-2013:0963 中的指南更新 RHEL java-1.7.0-oracle 程序包。另见
http://www.nessus.org/u?a094a6d7
http://www.nessus.org/u?f3d70905
https://access.redhat.com/errata/RHSA-2013:0963
https://access.redhat.com/security/updates/classification/#critical
https://bugzilla.redhat.com/show_bug.cgi?id=973474
https://bugzilla.redhat.com/show_bug.cgi?id=975099
https://bugzilla.redhat.com/show_bug.cgi?id=975102
https://bugzilla.redhat.com/show_bug.cgi?id=975107
https://bugzilla.redhat.com/show_bug.cgi?id=975110
https://bugzilla.redhat.com/show_bug.cgi?id=975115
https://bugzilla.redhat.com/show_bug.cgi?id=975118
https://bugzilla.redhat.com/show_bug.cgi?id=975120
https://bugzilla.redhat.com/show_bug.cgi?id=975121
https://bugzilla.redhat.com/show_bug.cgi?id=975122
https://bugzilla.redhat.com/show_bug.cgi?id=975124
https://bugzilla.redhat.com/show_bug.cgi?id=975125
https://bugzilla.redhat.com/show_bug.cgi?id=975126
https://bugzilla.redhat.com/show_bug.cgi?id=975127
https://bugzilla.redhat.com/show_bug.cgi?id=975129
https://bugzilla.redhat.com/show_bug.cgi?id=975130
https://bugzilla.redhat.com/show_bug.cgi?id=975131
https://bugzilla.redhat.com/show_bug.cgi?id=975132
https://bugzilla.redhat.com/show_bug.cgi?id=975133
https://bugzilla.redhat.com/show_bug.cgi?id=975134
https://bugzilla.redhat.com/show_bug.cgi?id=975137
https://bugzilla.redhat.com/show_bug.cgi?id=975138
https://bugzilla.redhat.com/show_bug.cgi?id=975139
https://bugzilla.redhat.com/show_bug.cgi?id=975140
https://bugzilla.redhat.com/show_bug.cgi?id=975141
https://bugzilla.redhat.com/show_bug.cgi?id=975142
https://bugzilla.redhat.com/show_bug.cgi?id=975144
https://bugzilla.redhat.com/show_bug.cgi?id=975145
https://bugzilla.redhat.com/show_bug.cgi?id=975146
https://bugzilla.redhat.com/show_bug.cgi?id=975148
https://bugzilla.redhat.com/show_bug.cgi?id=975757
https://bugzilla.redhat.com/show_bug.cgi?id=975761
https://bugzilla.redhat.com/show_bug.cgi?id=975764
https://bugzilla.redhat.com/show_bug.cgi?id=975769
https://bugzilla.redhat.com/show_bug.cgi?id=975770
https://bugzilla.redhat.com/show_bug.cgi?id=975773
插件详情
严重性: Low
ID: 66948
文件名: redhat-RHSA-2013-0963.nasl
版本: 1.27
类型: local
代理: unix
发布时间: 2013/6/21
最近更新时间: 2024/4/21
支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
风险信息
VPR
风险因素: Critical
分数: 9.8
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 8.7
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2013-2473
CVSS v3
风险因素: Low
基本分数: 3.7
时间分数: 3.6
矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
时间矢量: CVSS:3.0/E:H/RL:O/RC:C
CVSS 分数来源: CVE-2013-1571
漏洞信息
CPE: p-cpe:/a:redhat:enterprise_linux:java-1.7.0-oracle, p-cpe:/a:redhat:enterprise_linux:java-1.7.0-oracle-devel, p-cpe:/a:redhat:enterprise_linux:java-1.7.0-oracle-javafx, p-cpe:/a:redhat:enterprise_linux:java-1.7.0-oracle-jdbc, p-cpe:/a:redhat:enterprise_linux:java-1.7.0-oracle-plugin, p-cpe:/a:redhat:enterprise_linux:java-1.7.0-oracle-src, cpe:/o:redhat:enterprise_linux:5, cpe:/o:redhat:enterprise_linux:6
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
可利用: true
易利用性: Exploits are available
补丁发布日期: 2013/6/20
CISA 已知可遭利用的漏洞到期日期: 2022/4/18
可利用的方式
Core Impact
Metasploit (Java storeImageArray() Invalid Array Indexing Vulnerability)
参考资料信息
CVE: CVE-2013-1500, CVE-2013-1571, CVE-2013-2400, CVE-2013-2407, CVE-2013-2412, CVE-2013-2437, CVE-2013-2442, CVE-2013-2443, CVE-2013-2444, CVE-2013-2445, CVE-2013-2446, CVE-2013-2447, CVE-2013-2448, CVE-2013-2449, CVE-2013-2450, CVE-2013-2451, CVE-2013-2452, CVE-2013-2453, CVE-2013-2454, CVE-2013-2455, CVE-2013-2456, CVE-2013-2457, CVE-2013-2458, CVE-2013-2459, CVE-2013-2460, CVE-2013-2461, CVE-2013-2462, CVE-2013-2463, CVE-2013-2464, CVE-2013-2465, CVE-2013-2466, CVE-2013-2468, CVE-2013-2469, CVE-2013-2470, CVE-2013-2471, CVE-2013-2472, CVE-2013-2473, CVE-2013-3744