AIX Java 公告:java_apr2014_advisory.asc

critical Nessus 插件 ID 76870
全新!插件严重性现在使用 CVSS v3

计算的插件严重性默认已更新为使用 CVSS v3。没有 CVSS v3 分数的插件将回退到 CVSS v2 来计算严重性。可以在设置下拉列表中切换严重性显示首选项。

简介

远程 AIX 主机安装的 Java SDK 版本可能受到多种漏洞的影响。

描述

远程主机上安装的 Java SDK 版本可能受到以下漏洞的影响:

- libjpeg 和 libjpeg-turbo 中存在信息泄露缺陷,允许远程攻击者通过构建的 JPEG 图像访问未初始化的内存。
(CVE-2013-6629)

- libpng 中的漏洞允许通过 pngtran.c pngset.c 中的缺陷进行拒绝服务攻击。
(CVE-2013-6954)

- Oracle Java 中的漏洞允许通过 2D 图像处理中的缺陷进行远程代码执行。
(CVE-2014-0429、CVE-2014-2401、CVE-2014-2421)

- Oracle Java 中的漏洞允许通过记录器处理中的缺陷进行远程代码执行。
(CVE-2014-0446)

- Oracle Java 中的漏洞允许通过 Deployment 子组件中的缺陷进行远程代码执行。
(CVE-2014-0448、CVE-2014-0449、CVE-2014-2409、CVE-2014-2420、CVE-2014-2428)

- Oracle Java 中的漏洞允许远程攻击者通过 AWT 中的缺陷绕过安全功能。
(CVE-2014-0451、CVE-2014-2412)

- Oracle Java 中的漏洞允许远程攻击者通过 W3CEndpointReference.java 中的缺陷绕过安全功能。(CVE-2014-0452)

- Oracle Java RSAPadding 中的信息泄露漏洞允许远程攻击者查看加密保护的定时信息。(CVE-2014-0452)

- Oracle Java 中的漏洞允许远程攻击者通过 SignatureAndHalshAlgorithm 和 AlgorithmChecker 中的缺陷修改 SIGNATURE_PRIMITIVE_SET。
(CVE-2014-0454)

- Oracle Java 中的漏洞允许通过 MethodHandles.java 中的缺陷进行远程代码执行。
(CVE-2014-0455)

- Oracle Java 中的漏洞允许通过异常处理中的缺陷进行远程代码执行。
(CVE-2014-0457)

- Oracle Java 中的漏洞允许远程攻击者通过 JAX-WS 中的缺陷绕过安全功能。
(CVE-2014-0458、CVE-2014-2423)

- Oracle Java 中存在通过沙盒应用程序造成的不明漏洞。
(CVE-2014-0459)

- Oracle Java 中的漏洞允许远程攻击者通过 DnsClient 组件中的缺陷进行欺骗攻击。(CVE-2014-0460)

- Oracle Java 中的漏洞允许通过 ScriptEngineManager.java 中的缺陷进行远程代码执行。
(CVE-2014-0461)

- Oracle Java 中的漏洞允许远程攻击者通过加密保护的随机数发生器中的缺陷绕过安全功能。
(CVE-2014-0878)

- Oracle Java 中的权限升级漏洞允许远程攻击者通过 unpack200 中的缺陷覆盖任意文件。(CVE-2014-1876)

- Oracle Java 中的漏洞允许通过 Javadoc 中的缺陷进行远程代码执行。(CVE-2014-2398)

- Oracle Java 中的漏洞允许远程攻击者通过跨线程异步通道处理中的缺陷绕过安全功能。
(CVE-2014-2402)

- Oracle Java 中的漏洞允许远程攻击者通过 JAXB 中的缺陷绕过安全功能。
(CVE-2014-2414)

- Oracle Java 中的漏洞允许远程攻击者通过 Java 声音库中的缺陷绕过安全功能。(CVE-2014-2427)

解决方案

补丁按版本提供,可以从 AIX 网站下载。

另见

http://www.nessus.org/u?63277512

http://www.nessus.org/u?aacaab25

http://www.nessus.org/u?70623e16

http://www.nessus.org/u?1d08dc51

http://www.nessus.org/u?4ca2561a

http://www.nessus.org/u?a624fae8

http://www.nessus.org/u?aa3fc787

http://www.nessus.org/u?e42e2673

http://www.nessus.org/u?ae6bb0ba

http://www.ibm.com/developerworks/java/jdk/aix/service.html#levels

插件详情

严重性: Critical

ID: 76870

文件名: aix_java_apr2014_advisory.nasl

版本: 1.13

类型: local

发布时间: 2014/7/28

最近更新时间: 2021/1/4

依存关系: ssh_get_info.nasl

风险信息

VPR

风险因素: Medium

分数: 6.5

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 8.7

矢量: AV:N/AC:L/Au:N/C:C/I:C/A:C

时间矢量: E:ND/RL:OF/RC:C

漏洞信息

CPE: cpe:/o:ibm:aix, cpe:/a:oracle:java

必需的 KB 项: Host/AIX/lslpp, Host/local_checks_enabled, Host/AIX/version

易利用性: No known exploits are available

补丁发布日期: 2014/6/19

漏洞发布日期: 2013/10/28

参考资料信息

CVE: CVE-2013-6629, CVE-2013-6954, CVE-2014-0429, CVE-2014-0446, CVE-2014-0448, CVE-2014-0449, CVE-2014-0451, CVE-2014-0452, CVE-2014-0453, CVE-2014-0454, CVE-2014-0455, CVE-2014-0457, CVE-2014-0458, CVE-2014-0459, CVE-2014-0460, CVE-2014-0461, CVE-2014-0878, CVE-2014-1876, CVE-2014-2398, CVE-2014-2401, CVE-2014-2402, CVE-2014-2409, CVE-2014-2412, CVE-2014-2414, CVE-2014-2420, CVE-2014-2421, CVE-2014-2423, CVE-2014-2427, CVE-2014-2428

BID: 63676, 64493, 65568, 66856, 66866, 66870, 66873, 66879, 66881, 66883, 66887, 66891, 66894, 66898, 66899, 66902, 66903, 66904, 66905, 66907, 66909, 66910, 66911, 66914, 66915, 66916, 66919, 66920, 67601