AIX Java 公告：java_apr2014_advisory.asc

critical Nessus 插件 ID 76870

语言：

简介

远程 AIX 主机安装的 Java SDK 版本可能受到多种漏洞的影响。

描述

远程主机上安装的 Java SDK 版本可能受到以下漏洞的影响：

- libjpeg 和 libjpeg-turbo 中存在信息泄露缺陷，允许远程攻击者通过构建的 JPEG 图像访问未初始化的内存。
(CVE-2013-6629)

- libpng 中的漏洞允许通过 pngtran.c pngset.c 中的缺陷进行拒绝服务攻击。
(CVE-2013-6954)

- Oracle Java 中的漏洞允许通过 2D 图像处理中的缺陷进行远程代码执行。
（CVE-2014-0429、CVE-2014-2401、CVE-2014-2421）

- Oracle Java 中的漏洞允许通过记录器处理中的缺陷进行远程代码执行。
(CVE-2014-0446)

- Oracle Java 中的漏洞允许通过 Deployment 子组件中的缺陷进行远程代码执行。
（CVE-2014-0448、CVE-2014-0449、CVE-2014-2409、CVE-2014-2420、CVE-2014-2428）

- Oracle Java 中的漏洞允许远程攻击者通过 AWT 中的缺陷绕过安全功能。
（CVE-2014-0451、CVE-2014-2412）

- Oracle Java 中的漏洞允许远程攻击者通过 W3CEndpointReference.java 中的缺陷绕过安全功能。(CVE-2014-0452)

- Oracle Java RSAPadding 中的信息泄露漏洞允许远程攻击者查看加密保护的定时信息。(CVE-2014-0452)

- Oracle Java 中的漏洞允许远程攻击者通过 SignatureAndHalshAlgorithm 和 AlgorithmChecker 中的缺陷修改 SIGNATURE_PRIMITIVE_SET。
(CVE-2014-0454)

- Oracle Java 中的漏洞允许通过 MethodHandles.java 中的缺陷进行远程代码执行。
(CVE-2014-0455)

- Oracle Java 中的漏洞允许通过异常处理中的缺陷进行远程代码执行。
(CVE-2014-0457)

- Oracle Java 中的漏洞允许远程攻击者通过 JAX-WS 中的缺陷绕过安全功能。
（CVE-2014-0458、CVE-2014-2423）

- Oracle Java 中存在通过沙盒应用程序造成的不明漏洞。
(CVE-2014-0459)

- Oracle Java 中的漏洞允许远程攻击者通过 DnsClient 组件中的缺陷进行欺骗攻击。(CVE-2014-0460)

- Oracle Java 中的漏洞允许通过 ScriptEngineManager.java 中的缺陷进行远程代码执行。
(CVE-2014-0461)

- Oracle Java 中的漏洞允许远程攻击者通过加密保护的随机数发生器中的缺陷绕过安全功能。
(CVE-2014-0878)

- Oracle Java 中的权限升级漏洞允许远程攻击者通过 unpack200 中的缺陷覆盖任意文件。(CVE-2014-1876)

- Oracle Java 中的漏洞允许通过 Javadoc 中的缺陷进行远程代码执行。(CVE-2014-2398)

- Oracle Java 中的漏洞允许远程攻击者通过跨线程异步通道处理中的缺陷绕过安全功能。
(CVE-2014-2402)

- Oracle Java 中的漏洞允许远程攻击者通过 JAXB 中的缺陷绕过安全功能。
(CVE-2014-2414)

- Oracle Java 中的漏洞允许远程攻击者通过 Java 声音库中的缺陷绕过安全功能。(CVE-2014-2427)