MiracleLinux 3:java-1.6.0-openjdk-1.6.0.0-1.41.1.11.11.90.0.1.AXS3 (AXSA:2013-553:03)
critical Nessus 插件 ID 291498
语言:
简介
远程 MiracleLinux 主机缺少一个或多个安全更新。描述
远程 MiracleLinux 3 主机上安装的程序包受到 AXSA:2013-553:03 公告中提及的多个漏洞影响。OpenJDK 运行时环境。
此版本修复了如下安全问题:
CVE-2013-1500 Oracle Java SE 7 Update 21 和更早版本、6 Update 45 和更早版本、5.0 Update 45 和更早版本以及 OpenJDK 7 中的 Java Runtime Environment (JRE) 组件存在不明漏洞,该漏洞允许本地用户通过与 2D 相关的未知矢量来影响机密性和完整性。注意:之前的信息获取自 2013 年 6 月的 CPU。另一供应商声称此问题与共享内存的弱权限有关,Oracle 尚未对此作出任何评论。
CVE-2013-1571 Oracle Java SE 7 Update 21 和更早版本、6 Update 45 和更早版本、5.0 Update 45 和更早版本、JavaFX 2.2.21 和更早版本以及 OpenJDK 7 中的 Javadoc 组件存在不明漏洞,该漏洞允许远程攻击者通过与 Javadoc 相关的矢量来影响完整性。注意:之前的信息获取自 2013 年 6 月的 CPU。另一供应商声称此问题与由 Javadoc 生成的 HTML 中的框架注入有关,Oracle 尚未对此作出任何评论。
CVE-2013-2407 Oracle Java SE 7 Update 21 和更早版本、6 Update 45 和更早版本以及 OpenJDK 7 中的 Java Runtime Environment (JRE) 组件存在不明漏洞,该漏洞允许远程攻击者通过与 Libraries 相关的未知矢量来影响机密性和可用性。注意:之前的信息获取自 2013 年 6 月的 CPU。另一供应商声称此问题与 XML 安全和类装载器有关,Oracle 尚未对此作出任何评论。
CVE-2013-2412 Oracle Java SE 7 Update 21 和更早版本、6 Update 45 和更早版本以及 OpenJDK 7 中的 Java Runtime Environment (JRE) 组件存在不明漏洞,该漏洞允许远程攻击者通过与 Serviceability 相关的未知矢量来影响机密性。注意:之前的信息获取自 2013 年 6 月的 CPU。
另一供应商声称此问题与 JConsole 未充分指示 SSL 连接失败(与 RMI 连接对话框相关)有关,Oracle 尚未对此作出任何评论。
CVE-2013-2443 Oracle Java SE 7 Update 21 和更早版本、6 Update 45 和更早版本、5.0 Update 45 和更早版本以及 OpenJDK 7 中的 Java Runtime Environment (JRE) 组件存在不明漏洞,该漏洞允许远程攻击者通过与 Libraries 相关的未知矢量来影响机密性,与 CVE-2013-2452 和 CVE-2013-2455 不同。注意:之前的信息获取自 2013 年 6 月的 CPU。另一供应商声称此问题是由 AccessControlContext 类中的错误检查顺序造成,Oracle 尚未对此作出任何评论。
CVE-2013-2444 Oracle Java SE 7 Update 21 和更早版本、6 Update 45 和更早版本、5.0 Update 45 和更早版本、JavaFX 2.2.21 和更早版本以及 OpenJDK 7 中的 Java Runtime Environment (JRE) 组件存在不明漏洞,该漏洞允许远程攻击者通过与 AWT 相关的矢量来影响可用性。注意:之前的信息获取自 2013 年 6 月的 CPU。另一供应商声称此问题未妥善管理和限制与字体处理(可能涉及临时文件)相关的某些资源,Oracle 尚未对此作出任何评论。
CVE-2013-2445 Oracle Java SE 7 Update 21 和更早版本、6 Update 45 和更早版本、5.0 Update 45 和更早版本以及 OpenJDK 7 中的 Java Runtime Environment (JRE) 组件存在不明漏洞,该漏洞允许远程攻击者通过与 Hotspot 相关的未知矢量来影响可用性。注意:之前的信息获取自 2013 年 6 月的 CPU。另一供应商声称此问题导致远程攻击者可以通过与内存分配错误处理相关的矢量绕过 Java 沙盒,Oracle 尚未对此作出任何评论。
CVE-2013-2446 Oracle Java SE 7 Update 21 和更早版本、6 Update 45 和更早版本、5.0 Update 45 和更早版本以及 OpenJDK 7 中的 Java Runtime Environment (JRE) 组件存在不明漏洞,该漏洞允许远程攻击者通过与 CORBA 相关的矢量来影响机密性。注意:之前的信息获取自 2013 年 6 月的 CPU。另一供应商声称此问题未正确实施对 CORBA 输出流的访问限制,Oracle 尚未对此作出任何评论。
CVE-2013-2447 Oracle Java SE 7 Update 21 和更早版本、6 Update 45 和更早版本、5.0 Update 45 和更早版本以及 OpenJDK 7 中的 Java Runtime Environment (JRE) 组件存在不明漏洞,该漏洞允许远程攻击者通过与 Networking 相关的未知矢量来影响机密性。注意:之前的信息获取自 2013 年 6 月的 CPU。另一供应商声称此问题导致远程攻击者可以通过涉及 Socket.getLocalAddress 和 InetAddress.getLocalHost 不一致之处的矢量来获取套接字的本地地址,Oracle 尚未对此作出任何评论。
CVE-2013-2448 Oracle Java SE 7 Update 21 和更早版本、6 Update 45 和更早版本、5.0 Update 45 和更早版本以及 OpenJDK 7 中的 Java Runtime Environment (JRE) 组件存在不明漏洞,该漏洞允许远程攻击者通过与 Sound 相关的未知矢量来影响机密性、完整性和可用性。
注意:之前的信息获取自 2013 年 6 月的 CPU。另一供应商声称此问题导致远程攻击者可以通过与访问限制不足和声音类的稳定性相关的矢量绕过 Java 沙盒,Oracle 尚未对此作出任何评论。
CVE-2013-2450 Oracle Java SE 7 Update 21 和更早版本、6 Update 45 和更早版本、5.0 Update 45 和更早版本以及 OpenJDK 7 中的 Java Runtime Environment (JRE) 组件存在不明漏洞,该漏洞允许远程攻击者通过与 Serialization 相关的未知矢量来影响可用性。注意:之前的信息获取自 2013 年 6 月的 CPU。另一供应商声称此问题与未正确处理 ObjectStreamClass 中的循环引用有关,Oracle 尚未对此作出任何评论。
CVE-2013-2452 Oracle Java SE 7 Update 21 和更早版本、6 Update 45 和更早版本、5.0 Update 45 和更早版本以及 OpenJDK 7 中的 Java Runtime Environment (JRE) 组件存在不明漏洞,该漏洞允许远程攻击者通过与 Libraries 相关的未知矢量来影响机密性,与 CVE-2013-2443 和 CVE-2013-2455 不同。注意:之前的信息获取自 2013 年 6 月的 CPU。另一供应商声称此问题与虚拟机标识符中的网络地址处理以及 java.rmi.dgc.VMID 类中缺少唯一且不可预测的 ID 有关,Oracle 尚未对此作出任何评论。
CVE-2013-2453 Oracle Java SE 7 Update 21 和更早版本以及 6 Update 45 和更早版本中的 Java Runtime Environment (JRE) 组件存在不明漏洞,该漏洞允许远程攻击者通过与 JMX 相关的矢量来影响完整性。注意:之前的信息获取自 2013 年 6 月的 CPU。另一供应商声称此问题源于缺少对 MBeanServer Introspector 程序包访问的检查,Oracle 尚未对此作出任何评论。
CVE-2013-2455 Oracle Java SE 7 Update 21 和更早版本、6 Update 45 和更早版本、5.0 Update 45 和更早版本以及 OpenJDK 7 中的 Java Runtime Environment (JRE) 组件存在不明漏洞,该漏洞允许远程攻击者通过与 Libraries 相关的未知矢量来影响机密性,与 CVE-2013-2443 和 CVE-2013-2452 不同。注意:之前的信息获取自 2013 年 6 月的 CPU。另一供应商声称此问题与 (1) getEnclosingClass、(2) getEnclosingMethod 和 (3) getEnclosingConstructor 方法的错误访问检查有关,Oracle 尚未对此作出任何评论。
CVE-2013-2456 Oracle Java SE 7 Update 21 和更早版本、6 Update 45 和更早版本、5.0 Update 45 和更早版本以及 OpenJDK 7 中的 Java Runtime Environment (JRE) 组件存在不明漏洞,该漏洞允许远程攻击者通过与 Serialization 相关的未知矢量来影响机密性。注意:之前的信息获取自 2013 年 6 月的 CPU。另一供应商声称此问题与对 ObjectOutputStream 类的子类进行的不当访问检查有关,Oracle 尚未对此作出任何评论。
CVE-2013-2457 Oracle Java SE 7 Update 21 和更早版本、6 Update 45 和更早版本、5.0 Update 45 和更早版本以及 OpenJDK 7 中的 Java Runtime Environment (JRE) 组件存在不明漏洞,该漏洞允许远程攻击者通过与 JMX 相关的矢量来影响完整性。注意:之前的信息获取自 2013 年 6 月的 CPU。另一供应商声称此问题源于未正确实现某些类检查,导致远程攻击者可以绕过预期类限制,Oracle 尚未对此作出任何评论。
CVE-2013-2459 Oracle Java SE 7 Update 21 和更早版本、6 Update 45 和更早版本、5.0 Update 45 和更早版本以及 OpenJDK 7 中的 Java Runtime Environment (JRE) 组件存在不明漏洞,该漏洞允许远程攻击者通过与 AWT 相关的矢量来影响机密性、完整性和可用性。注意:之前的信息获取自 2013 年 6 月的 CPU。另一供应商声称此问题导致远程攻击者可以通过与整数溢出检查相关的矢量绕过 Java 沙盒,Oracle 尚未对此作出任何评论。
CVE-2013-2461 Oracle Java SE 7 Update 21 和更早版本、6 Update 45 和更早版本以及 OpenJDK 7 中的 Java Runtime Environment (JRE) 组件存在不明漏洞,该漏洞允许远程攻击者通过与 Libraries 相关的未知矢量来影响机密性、完整性和可用性。注意:之前的信息获取自 2013 年 6 月的 CPU。另一供应商声称此问题导致远程攻击者可以通过与 [a] valid DOMCanonicalizationMethod 规范化算法缺失的检查相关的矢量绕过 XML 签名验证,Oracle 尚未对此作出任何评论。
CVE-2013-2463 Oracle Java SE 7 Update 21 和更早版本、6 Update 45 和更早版本、5.0 Update 45 和更早版本以及 OpenJDK 7 中的 Java Runtime Environment (JRE) 组件存在不明漏洞,该漏洞允许远程攻击者通过与 2D 相关的未知矢量来影响机密性、完整性和可用性。注意:
之前的信息获取自 2013 年 6 月的 CPU。另一供应商声称此问题导致远程攻击者可以通过与 2D 中的错误图像属性验证相关的矢量绕过 Java 沙盒,Oracle 尚未对此作出任何评论。
CVE-2013-2465 Oracle Java SE 7 Update 21 和更早版本、6 Update 45 和更早版本、5.0 Update 45 和更早版本以及 OpenJDK 7 中的 Java Runtime Environment (JRE) 组件存在不明漏洞,该漏洞允许远程攻击者通过与 2D 相关的未知矢量来影响机密性、完整性和可用性。注意:
之前的信息获取自 2013 年 6 月的 CPU。另一供应商声称此问题导致远程攻击者可以通过与 2D 中的错误图像通道验证相关的矢量绕过 Java 沙盒,Oracle 尚未对此作出任何评论。
CVE-2013-2469 Oracle Java SE 7 Update 21 和更早版本、6 Update 45 和更早版本、5.0 Update 45 和更早版本以及 OpenJDK 7 中的 Java Runtime Environment (JRE) 组件存在不明漏洞,该漏洞允许远程攻击者通过与 2D 相关的未知矢量来影响机密性、完整性和可用性。注意:
之前的信息获取自 2013 年 6 月的 CPU。另一供应商声称此问题导致远程攻击者可以通过与 2D 中的错误图像布局验证相关的矢量绕过 Java 沙盒,Oracle 尚未对此作出任何评论。
CVE-2013-2470 Oracle Java SE 7 Update 21 和更早版本、6 Update 45 和更早版本、5.0 Update 45 和更早版本以及 OpenJDK 7 中的 Java Runtime Environment (JRE) 组件存在不明漏洞,该漏洞允许远程攻击者通过与 2D 相关的未知矢量来影响机密性、完整性和可用性。注意:
之前的信息获取自 2013 年 6 月的 CPU。另一供应商声称此问题导致远程攻击者可以通过与 ImagingLib 字节查找处理相关的矢量绕过 Java 沙盒,Oracle 尚未对此作出任何评论。
CVE-2013-2471 Oracle Java SE 7 Update 21 和更早版本、6 Update 45 和更早版本、5.0 Update 45 和更早版本以及 OpenJDK 7 中的 Java Runtime Environment (JRE) 组件存在不明漏洞,该漏洞允许远程攻击者通过与 2D 相关的未知矢量来影响机密性、完整性和可用性。注意:
之前的信息获取自 2013 年 6 月的 CPU。另一供应商声称此问题导致远程攻击者可以通过与错误 IntegerComponentRaster 大小检查相关的矢量绕过 Java 沙盒,Oracle 尚未对此作出任何评论。
CVE-2013-2472 Oracle Java SE 7 Update 21 和更早版本、6 Update 45 和更早版本、5.0 Update 45 和更早版本以及 OpenJDK 7 中的 Java Runtime Environment (JRE) 组件存在不明漏洞,该漏洞允许远程攻击者通过与 2D 相关的未知矢量来影响机密性、完整性和可用性。注意:
之前的信息获取自 2013 年 6 月的 CPU。另一供应商声称此问题导致远程攻击者可以通过与 2D 中的错误 ShortBandedRaster 大小检查相关的矢量绕过 Java 沙盒,Oracle 尚未对此作出任何评论。
CVE-2013-2473 Oracle Java SE 7 Update 21 和更早版本、6 Update 45 和更早版本、5.0 Update 45 和更早版本以及 OpenJDK 7 中的 Java Runtime Environment (JRE) 组件存在不明漏洞,该漏洞允许远程攻击者通过与 2D 相关的未知矢量来影响机密性、完整性和可用性。注意:
之前的信息获取自 2013 年 6 月的 CPU。另一供应商声称此问题导致远程攻击者可以通过与 2D 中的错误 ByteBandedRaster 大小检查相关的矢量绕过 Java 沙盒,Oracle 尚未对此作出任何评论。
Tenable 已直接从 MiracleLinux 安全公告中提取上述描述块。
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
更新受影响的 java-1.6.0-openjdk 和/或 java-1.6.0-openjdk-devel 程序包。另见
插件详情
严重性: Critical
ID: 291498
文件名: miracle_linux_AXSA-2013-553.nasl
版本: 1.2
类型: local
发布时间: 2026/1/19
最近更新时间: 2026/2/5
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Critical
分数: 9.7
Vendor
Vendor Severity: High
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 8.7
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2013-2465
CVSS v3
风险因素: Critical
基本分数: 9.8
时间分数: 9.4
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:H/RL:O/RC:C
漏洞信息
CPE: p-cpe:/a:miracle:linux:java-1.6.0-openjdk, p-cpe:/a:miracle:linux:java-1.6.0-openjdk-devel, cpe:/o:miracle:linux:3
必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list
可利用: true
易利用性: Exploits are available
补丁发布日期: 2013/7/18
漏洞发布日期: 2013/6/18
CISA 已知可遭利用的漏洞到期日期: 2022/4/18
可利用的方式
Core Impact
Metasploit (Java storeImageArray() Invalid Array Indexing Vulnerability)
参考资料信息
CVE: CVE-2013-1500, CVE-2013-1571, CVE-2013-2407, CVE-2013-2412, CVE-2013-2443, CVE-2013-2444, CVE-2013-2445, CVE-2013-2446, CVE-2013-2447, CVE-2013-2448, CVE-2013-2450, CVE-2013-2452, CVE-2013-2453, CVE-2013-2455, CVE-2013-2456, CVE-2013-2457, CVE-2013-2459, CVE-2013-2461, CVE-2013-2463, CVE-2013-2465