Debian DLA-1914-1:icedtea-web 安全更新
high Nessus 插件 ID 128618
语言:
简介
远程 Debian 主机缺少安全更新。描述
Java 网络加载协议 (JNLP) 的一种实现 icedtea-web 中发现多个安全漏洞。CVE-2019-10181 icedtea-web 可执行代码中发现可能被注入 JAR 文件,而不破坏签名验证。攻击者可能会利用此缺陷在受信任的 JAR 中注入代码。此代码会在沙盒内执行。CVE-2019-10182 icedtea-web 中发现未正确清理来自 JNLP 文件中 <jar/> 元素的路径。攻击者可能会诱骗受害者运行特别构建的应用程序,并利用此缺陷向用户环境中的任意位置上传任意文件。CVE-2019-10185 icedtea-web 中发现,在自动提取 JAR 文件的过程中容易受到 zip-slip 攻击。攻击者可利用此缺陷向任意位置写入文件。此缺陷还可用于替换运行中的主应用程序,并可能会突破沙盒。对于 Debian 8“Jessie”,这些问题已在 1.5.3-1~deb8u1 版本中修复。我们建议您升级 icedtea-web 程序包。注意:Tenable Network Security 已直接从 DLA 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下,尽可能进行自动整理和排版。解决方案
升级受影响的程序包。另见
https://lists.debian.org/debian-lts-announce/2019/09/msg00008.html
插件详情
严重性: High
ID: 128618
文件名: debian_DLA-1914.nasl
版本: 1.5
类型: local
代理: unix
发布时间: 2019/9/10
最近更新时间: 2024/4/26
支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: Medium
基本分数: 6.8
时间分数: 5.3
矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2019-10181
CVSS v3
风险因素: High
基本分数: 8.6
时间分数: 7.7
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:N
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
CVSS 分数来源: CVE-2019-10185
漏洞信息
CPE: p-cpe:/a:debian:debian_linux:icedtea-netx-common, p-cpe:/a:debian:debian_linux:icedtea-7-plugin, p-cpe:/a:debian:debian_linux:icedtea-plugin, cpe:/o:debian:debian_linux:8.0, p-cpe:/a:debian:debian_linux:icedtea-netx
必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
可利用: true
易利用性: Exploits are available
补丁发布日期: 2019/9/9
漏洞发布日期: 2019/7/31