RHEL 5/6:java-1.7.0-oracle (RHSA-2013:0963)

low Nessus 插件 ID 66948

简介

远程 Red Hat 主机缺少一个或多个 java-1.7.0-oracle 安全更新。

描述

远程 Redhat Enterprise Linux 5/6 主机上安装的程序包受到 RHSA-2013:0963 公告中提及的多个漏洞影响。

- OpenJDK:不安全的共享内存权限(2D,8001034)(CVE-2013-1500)

- OpenJDK:生成的 HTML 中存在框架注入错误(Javadoc,8012375)(CVE-2013-1571)

- Oracle JDK:已在 7u25 中修复的不明漏洞 (Deployment)(CVE-2013-2400、CVE-2013-2437、CVE-2013-2442、CVE-2013-2462、CVE-2013-2466、CVE-2013-2468、CVE-2013-3744)

- OpenJDK:集成重做的类加载器 Apache Santuario(Libraries,6741606、8008744)(CVE-2013-2407)

- OpenJDK:JConsole SSL 支持(Serviceability,8003703)(CVE-2013-2412)

- OpenJDK:AccessControlContext 检查顺序问题(Libraries,8001330)(CVE-2013-2443)

- OpenJDK:资源拒绝服务(AWT,8001038)(CVE-2013-2444)

- OpenJDK:更好地处理内存分配错误(Hotspot,7158805)(CVE-2013-2445)

- OpenJDK:输出流访问限制(CORBA,8000642)(CVE-2013-2446)

- OpenJDK:防止泄露本地地址(Networking,8001318)(CVE-2013-2447)

- OpenJDK:改进访问限制(Sound,8006328)(CVE-2013-2448)

- OpenJDK:GnomeFileTypeDetector 路径访问检查(Libraries,8004288)(CVE-2013-2449)

- OpenJDK:ObjectStreamClass 循环引用拒绝服务(Serialization,8000638)(CVE-2013-2450)

- OpenJDK:独占端口绑定(Networking,7170730)(CVE-2013-2451)

- OpenJDK:Unique VMID(Libraries,8001033)(CVE-2013-2452)

- OpenJDK:MBeanServer Introspector 程序包访问(JMX,8008124)(CVE-2013-2453)

- OpenJDK:SerialJavaObject 程序包限制(JDBC,8009554)(CVE-2013-2454)

- OpenJDK:getEnclosing* 检查(Libraries,8007812)(CVE-2013-2455)

- OpenJDK:ObjectOutputStream 访问检查(Serialization,8008132)(CVE-2013-2456)

- OpenJDK:正确的类检查(JMX,8008120)(CVE-2013-2457)

- OpenJDK:方法句柄(Libraries,8009424)(CVE-2013-2458)

- OpenJDK:各种 AWT 整数溢出检查(AWT,8009071)(CVE-2013-2459)

- OpenJDK:跟踪访问检查不充分问题(Serviceability,8010209)(CVE-2013-2460)

- OpenJDK:缺少对有效 DOMCanonicalizationMethod 规范化算法的检查(Libraries,8014281)(CVE-2013-2461)

- OpenJDK:错误图像属性验证(2D,8012438)(CVE-2013-2463)

- Oracle JDK:已在 7u25 中修复的不明漏洞 (2D) (CVE-2013-2464)

- OpenJDK:错误图像通道验证(2D,8012597)(CVE-2013-2465)

- OpenJDK:错误图像布局验证(2D,8012601)(CVE-2013-2469)

- OpenJDK:ImagingLib 字节查找处理(2D,8011243)(CVE-2013-2470)

- OpenJDK:错误 IntegerComponentRaster 大小检查(2D,8011248)(CVE-2013-2471)

- OpenJDK:错误 ShortBandedRaster 大小检查(2D,8011253)(CVE-2013-2472)

- OpenJDK:错误 ByteBandedRaster 大小检查(2D,8011257)(CVE-2013-2473)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

依据 RHSA-2013:0963 中的指南更新 RHEL java-1.7.0-oracle 程序包。

另见

http://www.nessus.org/u?a094a6d7

https://bugzilla.redhat.com/show_bug.cgi?id=975139

https://bugzilla.redhat.com/show_bug.cgi?id=975140

https://bugzilla.redhat.com/show_bug.cgi?id=975141

https://bugzilla.redhat.com/show_bug.cgi?id=975142

https://bugzilla.redhat.com/show_bug.cgi?id=975144

https://bugzilla.redhat.com/show_bug.cgi?id=975145

https://bugzilla.redhat.com/show_bug.cgi?id=975146

https://bugzilla.redhat.com/show_bug.cgi?id=975148

https://bugzilla.redhat.com/show_bug.cgi?id=975757

https://bugzilla.redhat.com/show_bug.cgi?id=975761

https://bugzilla.redhat.com/show_bug.cgi?id=975764

https://bugzilla.redhat.com/show_bug.cgi?id=975769

https://bugzilla.redhat.com/show_bug.cgi?id=975770

https://bugzilla.redhat.com/show_bug.cgi?id=975773

https://bugzilla.redhat.com/show_bug.cgi?id=975774

https://bugzilla.redhat.com/show_bug.cgi?id=975775

http://www.nessus.org/u?f3d70905

https://access.redhat.com/errata/RHSA-2013:0963

https://access.redhat.com/security/updates/classification/#critical

https://bugzilla.redhat.com/show_bug.cgi?id=973474

https://bugzilla.redhat.com/show_bug.cgi?id=975099

https://bugzilla.redhat.com/show_bug.cgi?id=975102

https://bugzilla.redhat.com/show_bug.cgi?id=975107

https://bugzilla.redhat.com/show_bug.cgi?id=975110

https://bugzilla.redhat.com/show_bug.cgi?id=975115

https://bugzilla.redhat.com/show_bug.cgi?id=975118

https://bugzilla.redhat.com/show_bug.cgi?id=975120

https://bugzilla.redhat.com/show_bug.cgi?id=975121

https://bugzilla.redhat.com/show_bug.cgi?id=975122

https://bugzilla.redhat.com/show_bug.cgi?id=975124

https://bugzilla.redhat.com/show_bug.cgi?id=975125

https://bugzilla.redhat.com/show_bug.cgi?id=975126

https://bugzilla.redhat.com/show_bug.cgi?id=975127

https://bugzilla.redhat.com/show_bug.cgi?id=975129

https://bugzilla.redhat.com/show_bug.cgi?id=975130

https://bugzilla.redhat.com/show_bug.cgi?id=975131

https://bugzilla.redhat.com/show_bug.cgi?id=975132

https://bugzilla.redhat.com/show_bug.cgi?id=975133

https://bugzilla.redhat.com/show_bug.cgi?id=975134

https://bugzilla.redhat.com/show_bug.cgi?id=975137

https://bugzilla.redhat.com/show_bug.cgi?id=975138

插件详情

严重性: Low

ID: 66948

文件名: redhat-RHSA-2013-0963.nasl

版本: 1.27

类型: local

代理: unix

发布时间: 2013/6/21

最近更新时间: 2024/4/21

支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

风险信息

VPR

风险因素: Critical

分数: 9.8

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 8.7

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2013-2473

CVSS v3

风险因素: Low

基本分数: 3.7

时间分数: 3.6

矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N

时间矢量: CVSS:3.0/E:H/RL:O/RC:C

CVSS 分数来源: CVE-2013-1571

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:java-1.7.0-oracle, p-cpe:/a:redhat:enterprise_linux:java-1.7.0-oracle-devel, p-cpe:/a:redhat:enterprise_linux:java-1.7.0-oracle-javafx, p-cpe:/a:redhat:enterprise_linux:java-1.7.0-oracle-jdbc, p-cpe:/a:redhat:enterprise_linux:java-1.7.0-oracle-plugin, p-cpe:/a:redhat:enterprise_linux:java-1.7.0-oracle-src, cpe:/o:redhat:enterprise_linux:5, cpe:/o:redhat:enterprise_linux:6

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可利用: true

易利用性: Exploits are available

补丁发布日期: 2013/6/20

CISA 已知可遭利用的漏洞到期日期: 2022/4/18

可利用的方式

Core Impact

Metasploit (Java storeImageArray() Invalid Array Indexing Vulnerability)

参考资料信息

CVE: CVE-2013-1500, CVE-2013-1571, CVE-2013-2400, CVE-2013-2407, CVE-2013-2412, CVE-2013-2437, CVE-2013-2442, CVE-2013-2443, CVE-2013-2444, CVE-2013-2445, CVE-2013-2446, CVE-2013-2447, CVE-2013-2448, CVE-2013-2449, CVE-2013-2450, CVE-2013-2451, CVE-2013-2452, CVE-2013-2453, CVE-2013-2454, CVE-2013-2455, CVE-2013-2456, CVE-2013-2457, CVE-2013-2458, CVE-2013-2459, CVE-2013-2460, CVE-2013-2461, CVE-2013-2462, CVE-2013-2463, CVE-2013-2464, CVE-2013-2465, CVE-2013-2466, CVE-2013-2468, CVE-2013-2469, CVE-2013-2470, CVE-2013-2471, CVE-2013-2472, CVE-2013-2473, CVE-2013-3744

CWE: 190

RHSA: 2013:0963