Amazon Linux AMI:java-1.7.0-openjdk (ALAS-2014-383)

high Nessus 插件 ID 78326
全新!插件严重性现在使用 CVSS v3

计算的插件严重性默认已更新为使用 CVSS v3。没有 CVSS v3 分数的插件将回退到 CVSS v2 来计算严重性。可以在设置下拉列表中切换严重性显示首选项。

简介

远程 Amazon Linux AMI 主机缺少安全更新。

描述

已发现 OpenJDK 中的热点组件未正确验证来自类文件的字节码。不受信任的 Java 应用程序或小程序可能利用这些缺陷绕过 Java 沙盒限制。(CVE-2014-4216、CVE-2014-4219)

在 OpenJDK 中的热点组件事件记录器中发现一个格式字符串缺陷。不受信任的 Java 应用程序或小程序可以利用此缺陷,以 Java 虚拟机的权限导致 Java 虚拟机崩溃或可能执行任意代码。
(CVE-2014-2490)

在 OpenJDK 的 Libraries 组件中发现多个权限检查不当问题。不受信任的 Java 应用程序或小程序可利用这些缺陷绕过 Java 沙盒限制。
(CVE-2014-4223、CVE-2014-4262、CVE-2014-2483)

在 OpenJDK 的 JMX、库、安全和可服务性组件中发现多个缺陷。不受信任的 Java 应用程序或小程序可利用这些缺陷绕过某些 Java 沙盒限制。(CVE-2014-4209、CVE-2014-4218、CVE-2014-4221、CVE-2014-4252、CVE-2014-4266)

已发现 OpenJDK 的 Security 组件中的 RSA 算法在执行使用私钥的操作时未充分实现伪装。能够测量这些操作的时间性差异的攻击者可能泄漏有关所用密钥的信息。(CVE-2014-4244)

OpenJDK 的 Security 组件中的 Diffie-Hellman (DH) 密钥交换算法实现无法正确验证公用 DH 参数。这可导致 OpenJDK 接受和使用弱参数,从而允许攻击者恢复协商的密钥。(CVE-2014-4263)

解决方案

请运行“yum update java-1.7.0-openjdk”更新系统。

另见

https://alas.aws.amazon.com/ALAS-2014-383.html

插件详情

严重性: High

ID: 78326

文件名: ala_ALAS-2014-383.nasl

版本: 1.7

类型: local

代理: unix

发布时间: 2014/10/12

最近更新时间: 2018/4/18

依存关系: ssh_get_info.nasl

风险信息

VPR

风险因素: Medium

分数: 6.5

CVSS v2

风险因素: High

基本分数: 9.3

矢量: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

漏洞信息

CPE: cpe:2.3:o:amazon:linux:*:*:*:*:*:*:*:*, p-cpe:2.3:a:amazon:linux:java-1.7.0-openjdk:*:*:*:*:*:*:*, p-cpe:2.3:a:amazon:linux:java-1.7.0-openjdk-debuginfo:*:*:*:*:*:*:*, p-cpe:2.3:a:amazon:linux:java-1.7.0-openjdk-demo:*:*:*:*:*:*:*, p-cpe:2.3:a:amazon:linux:java-1.7.0-openjdk-devel:*:*:*:*:*:*:*, p-cpe:2.3:a:amazon:linux:java-1.7.0-openjdk-javadoc:*:*:*:*:*:*:*, p-cpe:2.3:a:amazon:linux:java-1.7.0-openjdk-src:*:*:*:*:*:*:*

必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

补丁发布日期: 2014/7/23

参考资料信息

CVE: CVE-2014-4209, CVE-2014-4218, CVE-2014-4219, CVE-2014-4244, CVE-2014-4252, CVE-2014-4262, CVE-2014-4263, CVE-2014-2483, CVE-2014-2490, CVE-2014-4216, CVE-2014-4221, CVE-2014-4223, CVE-2014-4266

RHSA: 2014:0889

ALAS: 2014-383