RHEL 5/6:java-1.6.0-ibm (RHSA-2012:0514)
critical Nessus 插件 ID 58866
语言:
简介
远程 Red Hat 主机缺少一个或多个 java-1.6.0-ibm 安全更新。描述
远程 Redhat Enterprise Linux 5/6 主机上安装的程序包受到 RHSA-2012:0514 公告中提及的多个漏洞影响。- OpenJDK:JavaSound 边界检查不正确(Sound,7088367)(CVE-2011-3563)
- GlassFish:哈希表冲突 CPU 使用率 DoS (oCERT-2011-003) (CVE-2011-5035)
- OpenJDK:未充分检查图形渲染对象(2D,7112642)(CVE-2012-0497)
- Oracle JDK:已在 6u31 和 7u3 中修复的不明漏洞 (2D)(CVE-2012-0498、 CVE-2012-0499)
- Oracle JDK:已在 6u31 和 7u3 中修复的不明漏洞 (Deployment) (CVE-2012-0500)
- OpenJDK:ZIP 读取代码中的存在差一缺陷(JRE,7118283)(CVE-2012-0501)
- OpenJDK:KeyboardFocusManager 焦点窃取(AWT,7110683)(CVE-2012-0502)
- OpenJDK:TimeZone.setDefault() 的使用未受限制(i18n,7110687)(CVE-2012-0503)
- OpenJDK:反序列化异常信息不完整(Serialization,7110700)(CVE-2012-0505)
- OpenJDK:可变存储库标识符(CORBA,7110704)(CVE-2012-0506)
- OpenJDK:AtomicReferenceArray 数组类型检查不充分(Concurrency,7082299)(CVE-2012-0507)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
依据 RHSA-2012:0514 中的指南更新 RHEL java-1.6.0-ibm 程序包。另见
http://www.ibm.com/developerworks/java/jdk/alerts/
http://www.nessus.org/u?c176a9ae
https://access.redhat.com/errata/RHSA-2012:0514
https://access.redhat.com/security/updates/classification/#critical
https://bugzilla.redhat.com/show_bug.cgi?id=788606
https://bugzilla.redhat.com/show_bug.cgi?id=788624
https://bugzilla.redhat.com/show_bug.cgi?id=788976
https://bugzilla.redhat.com/show_bug.cgi?id=788994
https://bugzilla.redhat.com/show_bug.cgi?id=789295
https://bugzilla.redhat.com/show_bug.cgi?id=789297
https://bugzilla.redhat.com/show_bug.cgi?id=789299
https://bugzilla.redhat.com/show_bug.cgi?id=789300
https://bugzilla.redhat.com/show_bug.cgi?id=789301
https://bugzilla.redhat.com/show_bug.cgi?id=790720
插件详情
严重性: Critical
ID: 58866
文件名: redhat-RHSA-2012-0514.nasl
版本: 1.35
类型: local
代理: unix
发布时间: 2012/4/25
最近更新时间: 2024/4/21
支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
风险信息
VPR
风险因素: Critical
分数: 9.9
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 8.7
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2012-0507
CVSS v3
风险因素: Critical
基本分数: 9.8
时间分数: 9.4
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:H/RL:O/RC:C
CVSS 分数来源: CVE-2012-0498
漏洞信息
CPE: p-cpe:/a:redhat:enterprise_linux:java-1.6.0-ibm, p-cpe:/a:redhat:enterprise_linux:java-1.6.0-ibm-accessibility, p-cpe:/a:redhat:enterprise_linux:java-1.6.0-ibm-demo, p-cpe:/a:redhat:enterprise_linux:java-1.6.0-ibm-devel, p-cpe:/a:redhat:enterprise_linux:java-1.6.0-ibm-javacomm, p-cpe:/a:redhat:enterprise_linux:java-1.6.0-ibm-jdbc, p-cpe:/a:redhat:enterprise_linux:java-1.6.0-ibm-plugin, p-cpe:/a:redhat:enterprise_linux:java-1.6.0-ibm-src, cpe:/o:redhat:enterprise_linux:5, cpe:/o:redhat:enterprise_linux:6
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
可利用: true
易利用性: Exploits are available
补丁发布日期: 2012/4/24
漏洞发布日期: 2011/12/29
CISA 已知可遭利用的漏洞到期日期: 2022/3/24
可利用的方式
CANVAS (CANVAS)
Core Impact
Metasploit (Java AtomicReferenceArray Type Violation Vulnerability)
参考资料信息
CVE: CVE-2011-3563, CVE-2011-5035, CVE-2012-0497, CVE-2012-0498, CVE-2012-0499, CVE-2012-0500, CVE-2012-0501, CVE-2012-0502, CVE-2012-0503, CVE-2012-0505, CVE-2012-0506, CVE-2012-0507
BID: 51194, 52009, 52011, 52012, 52013, 52014, 52015, 52016, 52017, 52018, 52019, 52161