SUSE SLES11 安全更新:java-1_7_0-ibm (SUSE-SU-2015:1375-1) (Bar Mitzvah) (Logjam)
low Nessus 插件 ID 85379
语言:
简介
远程 SUSE 主机缺少一个或多个安全更新。描述
java-1_7_0-ibm 已更新,修复了 21 个安全问题。修复了这些安全问题:
- CVE-2015-4729:Oracle Java SE 7u80 和 8u45 中的不明漏洞允许远程攻击者通过与部署相关的未知矢量来影响机密性和完整性 (bsc#938895)。
- CVE-2015-4748:Oracle Java SE 6u95、7u80 和 8u45,JRockit R28.3.6 以及 Java SE Embedded 7u75 和 Embedded 8u33 中的不明漏洞允许远程攻击者通过与安全性相关的未知矢量来影响机密性、完整性和可用性 (bsc#938895)。
- CVE-2015-2664:Oracle Java SE 6u95、7u80 和 8u45 中的不明漏洞允许本地用户通过与部署相关的未知矢量来影响机密性、完整性和可用性 (bsc#938895)。
- CVE-2015-0192:SR1 之前的 IBM Java 8、SR2 FP11 之前的 7 R1、SR9 之前的 7、SR8 FP4 之前的 6 R1、SR16 FP4 之前的 6 和 SR16 FP10 之前的 5.0 中的不明漏洞允许远程攻击者通过与 Java 虚拟机相关的未知矢量来获取权限 (bsc#938895)。
- CVE-2015-2613:Oracle Java SE 7u80 和 8u45 以及 Java SE Embedded 7u75 和 8u33 中的不明漏洞允许远程攻击者通过与 JCE 相关的矢量来影响机密性 (bsc#938895)。
- CVE-2015-4731:Oracle Java SE 6u95、7u80 和 8u45,Java SE Embedded 7u75 以及 Java SE Embedded 8u33 中的不明漏洞允许远程攻击者通过与 JMX 相关的矢量来影响机密性、完整性和可用性 (bsc#938895)。
- CVE-2015-2637:Oracle Java SE 6u95、7u80 和 8u45,JavaFX 2.2.80 以及 Java SE Embedded 7u75 和 8u33 中的不明漏洞允许远程攻击者通过与 2D 相关的未知矢量来影响机密性 (bsc#938895)。
- CVE-2015-4733:Oracle Java SE 6u95、7u80 和 8u45 以及 Java SE Embedded 7u75 和 8u33 中的不明漏洞允许远程攻击者通过与 RMI 相关的矢量来影响机密性、完整性和可用性 (bsc#938895)。
- CVE-2015-4732:Oracle Java SE 6u95、7u80 和 8u45 以及 Java SE 嵌入 7u75 和 8u33 中的不明漏洞允许远程攻击者通过与库相关的未知矢量来影响机密性、完整性和可用性,此漏洞与 CVE-2015-2590 不同 (bsc#938895)。
- CVE-2015-2621:Oracle Java SE 6u95、7u80 和 8u45 以及 Java SE Embedded 7u75 和 8u33 中的不明漏洞允许远程攻击者通过与 JMX 相关的矢量来影响机密性 (bsc#938895)。
- CVE-2015-2619:Oracle Java SE 7u80 和 8u45、JavaFX 2.2.80 以及 Java SE Embedded 7u75 和 8u33 中的不明漏洞允许远程攻击者通过与 2D 相关的未知矢量来影响机密性 (bsc#938895)。
- CVE-2015-2590:Oracle Java SE 6u95、7u80 和 8u45 以及 Java SE 嵌入 7u75 和 8u33 中的不明漏洞允许远程攻击者通过与库相关的未知矢量来影响机密性、完整性和可用性,此漏洞与 CVE-2015-4732 不同 (bsc#938895)。
- CVE-2015-2638:Oracle Java SE 6u95、7u80 和 8u45,JavaFX 2.2.80 以及 Java SE Embedded 7u75 和 8u33 中的不明漏洞允许远程攻击者通过与 2D 相关的未知矢量来影响机密性、完整性和可用性 (bsc#938895)。
- CVE-2015-2625:Oracle Java SE 6u95、7u80 和 8u45,JRockit R28.3.6 以及 Java SE Embedded 7u75 和 8u33 中的不明漏洞允许远程攻击者通过与 JSSE 相关的矢量来影响机密性 (bsc#938895)。
- CVE-2015-2632:Oracle Java SE 6u95、7u80 和 8u45 中的不明漏洞允许远程攻击者通过与 2D 相关的未知矢量来影响机密性 (bsc#938895)。
- CVE-2015-1931:不明漏洞 (bsc#938895)。
- CVE-2015-4760:Oracle Java SE 6u95、7u80 和 8u45 中的不明漏洞允许远程攻击者通过与 2D 相关的未知矢量来影响机密性、完整性和可用性 (bsc#938895)。
- CVE-2015-4000:在服务器而非客户端上启用 DHE_EXPORT 加密套件时,TLS 协议 1.2 以及较早版本未能正确传递 DHE_EXPORT 选择,中间人攻击者可利用此问题,首先改写 ClientHello,将 DHE 替换为 DHE_EXPORT,然后改写 ServerHello,将 DHE_EXPORT 替换为 DHE,从而进行加密降级攻击,又名“Logjam”问题 (bsc#935540)。
- CVE-2015-2601:Oracle Java SE 6u95、7u80 和 8u45,JRockit R28.3.6 以及 Java SE Embedded 7u75 和 8u33 中的不明漏洞允许远程攻击者通过与 JCE 相关的矢量来影响机密性 (bsc#938895)。
- CVE-2015-2808:TLS 协议和 SSL 协议中使用的 RC4 算法在初始化阶段期间未正确将状态数据与密钥数据合并,这使远程攻击者更容易进行针对流的初始字节的明文恢复攻击,方法是嗅探偶尔依赖受不变性缺陷影响的密钥的网络流量,然后使用涉及 LSB 值的蛮力方法,又称“Bar Mitzvah”问题 (bsc#938895)。
- CVE-2015-4749:Oracle Java SE 6u95、7u80 和 8u45,JRockit R28.3.6 以及 Java SE Embedded 7u75 和 8u33 中的不明漏洞允许远程攻击者通过与 JNDI 相关的矢量来影响可用性 (bsc#938895)。
请注意,Tenable Network Security 已直接从 SUSE 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。
解决方案
请使用 YaST online_update 安装此 SUSE 安全更新。或者,可以运行为产品列出的命令:
SUSE Linux Enterprise 软件开发工具包 11-SP3:
zypper in -t patch sdksp3-java-1_7_0-ibm-12026=1
SUSE Linux Enterprise Server for VMWare 11-SP3:
zypper in -t patch slessp3-java-1_7_0-ibm-12026=1
SUSE Linux Enterprise Server 11-SP3:
zypper in -t patch slessp3-java-1_7_0-ibm-12026=1
SUSE Linux Enterprise Server 11-SP2-LTSS:
zypper in -t patch slessp2-java-1_7_0-ibm-12026=1
要使系统保持最新状态,请使用“zypper 修补程序”。
另见
https://bugzilla.suse.com/show_bug.cgi?id=935540
https://bugzilla.suse.com/show_bug.cgi?id=938895
https://www.suse.com/security/cve/CVE-2015-0192/
https://www.suse.com/security/cve/CVE-2015-1931/
https://www.suse.com/security/cve/CVE-2015-2590/
https://www.suse.com/security/cve/CVE-2015-2601/
https://www.suse.com/security/cve/CVE-2015-2613/
https://www.suse.com/security/cve/CVE-2015-2619/
https://www.suse.com/security/cve/CVE-2015-2621/
https://www.suse.com/security/cve/CVE-2015-2625/
https://www.suse.com/security/cve/CVE-2015-2632/
https://www.suse.com/security/cve/CVE-2015-2637/
https://www.suse.com/security/cve/CVE-2015-2638/
https://www.suse.com/security/cve/CVE-2015-2664/
https://www.suse.com/security/cve/CVE-2015-2808/
https://www.suse.com/security/cve/CVE-2015-4000/
https://www.suse.com/security/cve/CVE-2015-4729/
https://www.suse.com/security/cve/CVE-2015-4731/
https://www.suse.com/security/cve/CVE-2015-4732/
https://www.suse.com/security/cve/CVE-2015-4733/
https://www.suse.com/security/cve/CVE-2015-4748/
https://www.suse.com/security/cve/CVE-2015-4749/
插件详情
严重性: Low
ID: 85379
文件名: suse_SU-2015-1375-1.nasl
版本: 2.16
类型: local
代理: unix
发布时间: 2015/8/13
最近更新时间: 2022/12/5
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
风险信息
VPR
风险因素: Critical
分数: 9.0
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 8.7
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS v3
风险因素: Low
基本分数: 3.7
时间分数: 3.6
矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N
时间矢量: CVSS:3.0/E:H/RL:O/RC:C
漏洞信息
CPE: p-cpe:/a:novell:suse_linux:java-1_7_0-ibm, p-cpe:/a:novell:suse_linux:java-1_7_0-ibm-alsa, p-cpe:/a:novell:suse_linux:java-1_7_0-ibm-devel, p-cpe:/a:novell:suse_linux:java-1_7_0-ibm-jdbc, p-cpe:/a:novell:suse_linux:java-1_7_0-ibm-plugin, cpe:/o:novell:suse_linux:11
必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
可利用: true
易利用性: Exploits are available
补丁发布日期: 2015/7/31
漏洞发布日期: 2015/3/31
CISA 已知可遭利用的漏洞到期日期: 2022/3/24
参考资料信息
CVE: CVE-2015-0192, CVE-2015-1931, CVE-2015-2590, CVE-2015-2601, CVE-2015-2613, CVE-2015-2619, CVE-2015-2621, CVE-2015-2625, CVE-2015-2632, CVE-2015-2637, CVE-2015-2638, CVE-2015-2664, CVE-2015-2808, CVE-2015-4000, CVE-2015-4729, CVE-2015-4731, CVE-2015-4732, CVE-2015-4733, CVE-2015-4748, CVE-2015-4749, CVE-2015-4760
BID: 75890, 75892, 75895, 75985, 73684, 74545, 74733, 75784, 75812, 75818, 75823, 75832, 75833, 75854, 75857, 75861, 75867, 75871, 75874, 75881, 75883