RHEL 6:java-1.7.1-ibm (RHSA-2018:0521)
high Nessus 插件 ID 108362
语言:
简介
远程 Red Hat 主机缺少一个或多个 java-1.7.1-ibm 安全更新。描述
远程 Redhat Enterprise Linux 6 主机上安装的多个程序包受到 RHSA-2018:0521 公告中提及的多个漏洞影响。IBM Java SE 版本 7 发行版本 1 包括 IBM Java Runtime Environment 和 IBM Java 软件开发工具包。
此更新用于将 IBM Java SE 7 升级到版本 7R1 SR4-FP20。
安全修复:
* OpenJDK:invokeinterface 指令验证不充分(Hotspot,8174962)(CVE-2018-2582)
* OpenJDK:LDAPCertStore 未安全处理 LDAP 引用(JNDI,8186606)(CVE-2018-2633)
* OpenJDK:为 HTTP/SPNEGO 使用全局凭据(JGSS,8186600)(CVE-2018-2634)
* OpenJDK:SingleEntryRegistry 的反序列化过滤器设置不正确(JMX,8186998)(CVE-2018-2637)
* OpenJDK:GTK 库加载释放后重用(AWT,8185325)(CVE-2018-2641)
* OpenJDK:LdapLoginModule 在 LDAP 查询中的用户名编码不充分(LDAP,8178449)(CVE-2018-2588)
* OpenJDK:DnsClient 缺少源端口随机化(JNDI,8182125)(CVE-2018-2599)
* OpenJDK:从不受信任的位置加载类(I18n,8182601)(CVE-2018-2602)
* OpenJDK:DerValue 无限内存分配(Libraries,8182387)(CVE-2018-2603)
* OpenJDK:密钥协议强度不足(JCE,8185292)(CVE-2018-2618)
* Oracle JDK:已在 6u181 和 7u171 中修复的不明漏洞 (Serialization) (CVE-2018-2657)
* OpenJDK:ArrayBlockingQueue 反序列化为不一致的状态(Libraries,8189284)(CVE-2018-2663)
* OpenJDK:在反序列化过程中存在无限内存分配(AWT,8190289)(CVE-2018-2677)
* OpenJDK:BasicAttributes 反序列化中存在无限内存分配(JNDI,8191142)(CVE-2018-2678)
* OpenJDK:对加密密钥数据的非同步访问(Libraries,8172525)(CVE-2018-2579)
有关此安全问题的详细信息,包括其影响、CVSS 得分和其他相关信息,请参阅列于“参考”部分的 CVE 页面。
Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
根据 RHSA-2018:0521 中的指南更新 RHEL java-1.7.1-ibm 程序包。另见
http://www.nessus.org/u?a576462d
https://access.redhat.com/errata/RHSA-2018:0521
https://access.redhat.com/security/updates/classification/#important
https://bugzilla.redhat.com/show_bug.cgi?id=1534263
https://bugzilla.redhat.com/show_bug.cgi?id=1534288
https://bugzilla.redhat.com/show_bug.cgi?id=1534296
https://bugzilla.redhat.com/show_bug.cgi?id=1534298
https://bugzilla.redhat.com/show_bug.cgi?id=1534299
https://bugzilla.redhat.com/show_bug.cgi?id=1534525
https://bugzilla.redhat.com/show_bug.cgi?id=1534543
https://bugzilla.redhat.com/show_bug.cgi?id=1534553
https://bugzilla.redhat.com/show_bug.cgi?id=1534762
https://bugzilla.redhat.com/show_bug.cgi?id=1534766
https://bugzilla.redhat.com/show_bug.cgi?id=1534768
https://bugzilla.redhat.com/show_bug.cgi?id=1534943
https://bugzilla.redhat.com/show_bug.cgi?id=1534970
插件详情
严重性: High
ID: 108362
文件名: redhat-RHSA-2018-0521.nasl
版本: 1.8
类型: local
代理: unix
发布时间: 2018/3/15
最近更新时间: 2025/3/24
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
风险信息
VPR
风险因素: High
分数: 7.3
Vendor
Vendor Severity: Important
CVSS v2
风险因素: Medium
基本分数: 6.8
时间分数: 5
矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2018-1417
CVSS v3
风险因素: High
基本分数: 8.3
时间分数: 7.2
矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
CVSS 分数来源: CVE-2018-2633
漏洞信息
CPE: p-cpe:/a:redhat:enterprise_linux:java-1.7.1-ibm-plugin, p-cpe:/a:redhat:enterprise_linux:java-1.7.1-ibm-jdbc, p-cpe:/a:redhat:enterprise_linux:java-1.7.1-ibm, p-cpe:/a:redhat:enterprise_linux:java-1.7.1-ibm-devel, cpe:/o:redhat:enterprise_linux:6, p-cpe:/a:redhat:enterprise_linux:java-1.7.1-ibm-src, p-cpe:/a:redhat:enterprise_linux:java-1.7.1-ibm-demo
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
易利用性: No known exploits are available
补丁发布日期: 2018/3/14
漏洞发布日期: 2018/1/18
参考资料信息
CVE: CVE-2018-1417, CVE-2018-2579, CVE-2018-2582, CVE-2018-2588, CVE-2018-2599, CVE-2018-2602, CVE-2018-2603, CVE-2018-2618, CVE-2018-2633, CVE-2018-2634, CVE-2018-2637, CVE-2018-2641, CVE-2018-2657, CVE-2018-2663, CVE-2018-2677, CVE-2018-2678