检测

iracleLinux 4 java-1.7.0-openjdk-1.7.0.5-2.2.1.AXS4 (AXSA:2012-909:02)

critical Nessus 插件 ID 284344

语言:

简介

远程iraclelinux 主机缺少一个或多个安全更新。

描述

远程MiracleLinux 4 主机上存在安装的 程序包该程序包受到 AXSA:2012-909:02 公告中提及的多个漏洞的影响。

 OpenJDK 运行时环境。
 此版本修复的安全问题
 CVE-2012-0547 Oracle Java SE 7 Update 6 和更早版本以及 6 Update 34 和更早版本中 Java Runtime Environment (JRE) 组件中的不明漏洞不造成任何影响且远程攻击矢量涉及 AWT 和不可直接利用的深度安全深度问题。但却可被用来恶化可直接利用的安全漏洞。注意此标识符的分配者为 Oracle CNA但该 CVE 并非用于涵盖仅因存在其他漏洞而暴露的纵深防御问题。
 CVE-2012-1682 Oracle Java SE 7 Update 6 和更早版本中 Java Runtime Environment (JRE) 组件的不明漏洞允许远程攻击者通过与 Beans 有关的未知矢量来影响机密性、完整性和可用性此漏洞与 CVE-2012-3136不同。
 CVE-2012-3136 Oracle Java SE 7 Update 6 和更早版本中 Java Runtime Environment (JRE) 组件的不明漏洞允许远程攻击者通过与 Beans 有关的未知矢量来影响机密性、完整性和可用性此漏洞与 CVE-2012-1682不同。
 CVE-2012-4681 Oracle Java SE 7 Update 6 和更早版本中 Java Runtime Environment (JRE) 组件中的多个漏洞允许远程攻击者通过构建的小程序执行任意代码该小程序可使用 com.sun.beans.finder.ClassFinder (1) 绕过 SecurityManager 限制。 findClass 并利用 forName 方法的异常访问来自 sun.awt.SunToolkit 等任意程序包的受限制类然后 (2) 与受信任的即时调用程序一起使用反射以利用 getField 方法访问和修改私有字段在 中遭到利用2012 年 8 月使用 Gondzz.class 和 Gondvv.class 提供支持。

Tenable 已直接从MiracleLinux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的 java-1.7.0-openjdk 程序包。

另见

https://tsn.miraclelinux.com/en/node/3452

插件详情

严重性: Critical

ID: 284344

文件名: miracle_linux_AXSA-2012-909.nasl

版本: 1.2

类型: Local

发布时间: 2026/1/14

最近更新时间: 2026/1/16

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Critical

分数: 9.7

Vendor

Vendor Severity: High

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 8.7

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2012-4681

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 9.4

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:H/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:miracle:linux:java-1.7.0-openjdk, cpe:/o:miracle:linux:4

必需的 KB 项: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

可利用: true

易利用性: Exploits are available

补丁发布日期: 2012/9/17

漏洞发布日期: 2012/8/27

CISA 已知可遭利用的漏洞到期日期: 2022/3/24

可利用的方式

CANVAS (CANVAS)

Core Impact

Metasploit (Java 7 Applet Remote Code Execution)

参考资料信息

CVE: CVE-2012-0547, CVE-2012-1682, CVE-2012-3136, CVE-2012-4681