Oracle Java SE 多种漏洞(2016 年 7 月 CPU)

critical Nessus 插件 ID 92516
全新!插件严重性现在使用 CVSS v3

计算的插件严重性默认已更新为使用 CVSS v3。没有 CVSS v3 分数的插件将回退到 CVSS v2 来计算严重性。可以在设置下拉列表中切换严重性显示首选项。

简介

远程 Windows 主机包含受多种漏洞影响的编程平台。

描述

远程主机上安装的 Oracle(旧称 Sun)Java SE 或 Java for Business 的版本低于 8 Update 101、7 Update 111 或 6 Update 121。因此,它受到多种漏洞的影响:

- CORBA 子组件中存在一个不明缺陷,允许未经认证的远程攻击者影响完整性。(CVE-2016-3458)

- Networking 子组件中存在一个不明缺陷,允许本地攻击者影响完整性。(CVE-2016-3485)

- JavaFX 子组件中存在一个不明缺陷,允许未经认证的远程攻击者造成拒绝服务情况。(CVE-2016-3498)

- JAXP 子组件中存在一个不明缺陷,允许未经认证的远程攻击者造成拒绝服务情况。(CVE-2016-3500)

- Install 子组件中存在一个不明缺陷,允许本地攻击者取得升级的权限。(CVE-2016-3503)

- JAXP 子组件中存在一个不明缺陷,允许未经认证的远程攻击者造成拒绝服务情况。(CVE-2016-3508)

- Deployment 子组件中存在一个不明缺陷,允许本地攻击者取得升级的权限。(CVE-2016-3511)

- Hotspot 子组件中存在一个不明缺陷,允许未经认证的远程攻击者泄露可能的敏感信息。
(CVE-2016-3550)

- Install 子组件中存在一个不明缺陷,允许本地攻击者取得升级的权限。(CVE-2016-3552)

- Hotspot 子组件中存在一个因不当访问 MethodHandle::invokeBasic() 函数所导致的不明缺陷。未经认证的远程攻击者可利用此问题执行任意代码。(CVE-2016-3587)

- MethodHandles::dropArguments() 函数的 Libraries 子组件中存在一个缺陷,允许未经认证的远程攻击者执行任意代码。(CVE-2016-3598)

- ClassVerifier::ends_in_athrow() 函数的 Hotspot 子组件在处理字节码验证时存在一个缺陷。未经认证的远程攻击者可利用此问题执行任意代码。
(CVE-2016-3606)

- Libraries 子组件中存在一个不明缺陷,允许未经认证的远程攻击者执行任意代码。(CVE-2016-3610)

解决方案

升级到 Oracle JDK / JRE 8 Update 101 / 7 Update 111 / 6 Update 121 或更高版本。如有必要,删除所有受影响的版本。

请注意,需要与 Oracle 签订扩展支持合约才能获取 JDK / JRE 6 Update 95 或更高版本。

另见

http://www.nessus.org/u?e71b6836

http://www.nessus.org/u?92867054

http://www.nessus.org/u?6adbf356

http://www.nessus.org/u?81636e81

插件详情

严重性: Critical

ID: 92516

文件名: oracle_java_cpu_jul_2016.nasl

版本: 1.11

类型: local

代理: windows

系列: Windows

发布时间: 2016/7/22

最近更新时间: 2019/11/14

依存关系: sun_java_jre_installed.nasl

风险信息

CVSS 分数来源: CVE-2016-3610

VPR

风险因素: High

分数: 7.3

CVSS v2

风险因素: High

基本分数: 9.3

时间分数: 6.9

矢量: AV:N/AC:M/Au:N/C:C/I:C/A:C

时间矢量: E:U/RL:OF/RC:C

CVSS v3

风险因素: Critical

基本分数: 9.6

时间分数: 8.3

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

时间矢量: E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/a:oracle:jre, cpe:/a:oracle:jdk

必需的 KB 项: SMB/Java/JRE/Installed

易利用性: No known exploits are available

补丁发布日期: 2016/7/18

漏洞发布日期: 2016/4/23

参考资料信息

CVE: CVE-2016-3458, CVE-2016-3485, CVE-2016-3498, CVE-2016-3500, CVE-2016-3503, CVE-2016-3508, CVE-2016-3511, CVE-2016-3550, CVE-2016-3552, CVE-2016-3587, CVE-2016-3598, CVE-2016-3606, CVE-2016-3610

BID: 91904, 91912, 91918, 91930, 91945, 91951, 91956, 91962, 91972, 91990, 91996, 92000, 92006