Ubuntu 11.10 / 12.04 LTS：icedtea-web 回归 (USN-1804-2)

medium Nessus 插件 ID 66199

语言：

简介

远程 Ubuntu 主机缺少一个或多个与安全有关的修补程序。

描述

USN-1804-1 修复了 IcedTea-Web 中的漏洞。此更新在某些配置下通过 SSL 提取内容时引入了 Java 网络启动协议 (JNLP) 回归，例如使用社区支持的 IcedTead 7 浏览器插件时。
此更新修复了该问题。

我们对不便之处表示抱歉。

Jiri Vanek 发现，IcedTea-Web 对来自不同域的小程序使用相同的类加载器。远程攻击者可利用该缺陷暴露敏感信息，或可能操作来自其他域的小程序。(CVE-2013-1926)

已发现 IcedTea-Web 未正确验证 JAR 文件，因此容易受到 GIFAR 攻击。在某些情况下，如果用户受到诱骗打开恶意网站，远程攻击者可能利用此问题执行代码。(CVE-2013-1927)。

解决方案

更新受影响的 icedtea-7-plugin 和/或 icedtea-netx 程序包。

另见

https://usn.ubuntu.com/1804-2/

插件详情

严重性: Medium

ID: 66199

文件名: ubuntu_USN-1804-2.nasl

版本: 1.8

类型: local

代理: unix

系列: Ubuntu Local Security Checks

发布时间: 2013/4/24

最近更新时间: 2019/9/19

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: Medium

基本分数: 6.8

时间分数: 5.9

矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

漏洞信息

CPE: p-cpe:/a:canonical:ubuntu_linux:icedtea-7-plugin, p-cpe:/a:canonical:ubuntu_linux:icedtea-netx, cpe:/o:canonical:ubuntu_linux:11.10, cpe:/o:canonical:ubuntu_linux:12.04:-:lts

必需的 KB 项: Host/cpu, Host/Debian/dpkg-l, Host/Ubuntu, Host/Ubuntu/release

易利用性: No known exploits are available

补丁发布日期: 2013/4/23

漏洞发布日期: 2013/4/29

参考资料信息

CVE: CVE-2013-1926, CVE-2013-1927

BID: 59281, 59286

USN: 1804-2