Oracle Secure Global Desktop 多种漏洞(2014 年 7 月 CPU)

high Nessus 插件 ID 76570
全新!漏洞优先级评级 (VPR)

Tenable 测算每个漏洞的动态 VPR。VPR 将漏洞信息与威胁情报和机器学习算法相结合,预测哪些漏洞最有可能在攻击中被利用。了解详细信息: VPR 的定义及其与 CVSS 的区别。

VPR 得分: 8.5

简介

远程主机上的 Oracle Secure Global Desktop 版本受到多种漏洞的影响。

描述

远程主机上的 Oracle Secure Global Desktop 版本是 4.63、4.71、5.0 或 5.1。因此,它受到以下漏洞的影响:

- Apache Tomcat 未正确处理某些不一致的 HTTP 请求标头,这允许远程攻击者触发对请求长度不正确的识别,并且执行请求走私攻击。
(CVE-2013-4286)

- Apache Tomcat 中的 CoyoteAdapter.java 在处理 URL 中的会话 ID 时不考虑“disableURLRewriting”设置,从而允许远程攻击者通过构建的 URL 进行会话固定攻击。
(CVE-2014-0033)

- Apache 的 mod_log_config 中的“log_cookie”函数在截断期间不会处理特别构建的 Cookie,从而允许远程攻击者通过分段错误造成拒绝服务。(CVE-2014-0098)

- X.Org libXfont 中的多种整数溢出可允许远程字体服务器通过构建的可触发缓冲区溢出的 xfs 回复执行任意代码。(CVE-2014-0211)

- OpenSSL 未正确限制“ChangeCipherSpec”消息的处理,这可允许中间人攻击者触发零长度主密钥的使用,从而通过构建的 TLS 握手导致劫持会话或获取敏感信息。(CVE-2014-0224)

- 与 Workspace Web Application 子组件相关的不明缺陷可允许远程攻击者影响完整性。(CVE-2014-4232)

解决方案

根据 2014 年 7 月 Oracle 关键修补程序更新公告,应用相应的修补程序。

另见

http://www.nessus.org/u?77697fb1

插件详情

严重性: High

ID: 76570

文件名: oracle_secure_global_desktop_jul_2014_cpu.nasl

版本: 1.9

类型: local

系列: Misc.

发布时间: 2014/7/17

最近更新时间: 2018/11/15

依存关系: oracle_secure_global_desktop_installed.nbin

风险信息

风险因素: High

VPR 得分: 8.5

CVSS v2.0

基本分数: 7.5

时间分数: 6.2

矢量: AV:N/AC:L/Au:N/C:P/I:P/A:P

时间矢量: E:F/RL:OF/RC:C

漏洞信息

CPE: cpe:/a:oracle:virtualization_secure_global_desktop

必需的 KB 项: Host/Oracle_Secure_Global_Desktop/Version

可利用: true

易利用性: Exploits are available

补丁发布日期: 2014/7/15

漏洞发布日期: 2014/2/26

可利用的方式

Core Impact

参考资料信息

CVE: CVE-2013-4286, CVE-2014-0033, CVE-2014-0098, CVE-2014-0211, CVE-2014-0224, CVE-2014-4232

BID: 65769, 65773, 66303, 67382, 67899, 68606

CERT: 978508