Oracle Secure Global Desktop 多种漏洞(2014 年 7 月 CPU)
high Nessus 插件 ID 76570
语言:
简介
远程主机上的 Oracle Secure Global Desktop 版本受到多种漏洞的影响。描述
远程主机上的 Oracle Secure Global Desktop 版本是 4.63、4.71、5.0 或 5.1。因此,它受到以下漏洞的影响:- Apache Tomcat 未正确处理某些不一致的 HTTP 请求标头,这允许远程攻击者触发对请求长度不正确的识别,并且执行请求走私攻击。
(CVE-2013-4286)
- Apache Tomcat 中的 CoyoteAdapter.java 在处理 URL 中的会话 ID 时不考虑“disableURLRewriting”设置,从而允许远程攻击者通过构建的 URL 进行会话固定攻击。
(CVE-2014-0033)
- Apache 的 mod_log_config 中的“log_cookie”函数在截断期间不会处理特别构建的 Cookie,从而允许远程攻击者通过分段错误造成拒绝服务。(CVE-2014-0098)
- X.Org libXfont 中的多种整数溢出可允许远程字体服务器通过构建的可触发缓冲区溢出的 xfs 回复执行任意代码。(CVE-2014-0211)
- OpenSSL 未正确限制“ChangeCipherSpec”消息的处理,这可允许中间人攻击者触发零长度主密钥的使用,从而通过构建的 TLS 握手导致劫持会话或获取敏感信息。(CVE-2014-0224)
- 与 Workspace Web Application 子组件相关的不明缺陷可允许远程攻击者影响完整性。(CVE-2014-4232)
解决方案
根据 2014 年 7 月 Oracle 关键修补程序更新公告,应用相应的修补程序。另见
插件详情
严重性: High
ID: 76570
文件名: oracle_secure_global_desktop_jul_2014_cpu.nasl
版本: 1.10
类型: local
代理: windows, macosx, unix
系列: Misc.
发布时间: 2014/7/17
最近更新时间: 2021/10/25
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: High
分数: 7.7
CVSS v2
风险因素: High
基本分数: 7.5
时间分数: 6.2
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
漏洞信息
CPE: cpe:/a:oracle:virtualization_secure_global_desktop
必需的 KB 项: Host/Oracle_Secure_Global_Desktop/Version
可利用: true
易利用性: Exploits are available
补丁发布日期: 2014/7/15
漏洞发布日期: 2014/2/26
可利用的方式
Core Impact
参考资料信息
CVE: CVE-2013-4286, CVE-2014-0033, CVE-2014-0098, CVE-2014-0211, CVE-2014-0224, CVE-2014-4232
BID: 65769, 65773, 66303, 67382, 67899, 68606
CERT: 978508