检测

Oracle Linux 6:java-1.7.0-openjdk (ELSA-2013-0751)

low Nessus 插件 ID 68811

语言:

简介

远程 Oracle Linux 主机缺少一个或多个安全更新。

描述

远程 Oracle Linux 6 主机上安装的程序包受到 ELSA-2013-0751 公告中提及的多个漏洞的影响。

 [1.7.0.19-2.3.9.1.0.1.el6_4]
 - 更新规范文件中的 DISTRO_NAME

 [1.7.0.19-2.3.9.1.el6]
 - 已更新到更新后的 IcedTea 2.3.9,含有其中一个安全修复的补丁
 - 修复了字体字形偏移
 - 已解决:rhbz#950380

 [1.7.0.9-2.3.9.0.el6]
 - 已更新到 IcedTea 2.3.9,包含最新的安全修补程序
 - buildver 同步到 b19
 - 已重写 java-1.7.0-openjdk-java-access-bridge-security.patch
 - 已解决:rhbz#950380

 [1.7.0.19-2.3.8.2.el6]
 - 添加了最新的 Fedora spec 更改
 - 升级版本
 - 删除了 patch2 java-1.7.0-openjdk-java-access-bridge-idlj.patch(未应用)
 - 将 BuildReq 中的 zlib 限制用于 1.2.3-7 或更高版本
 - 请参阅 https://bugzilla.redhat.com/show_bug.cgi?id=904231
 - 删除了版本中的一个 -icedtea 标签
 - 程序包与 icedtea7 的连接越来越少
 - 添加了 gcc-c++ 版本依赖关系。有时会在 rpm -bb 执行期间造成问题
 - 添加了对 fontconfig 和 xorg-x11-fonts-Type1 的(构建)依赖关系
 有关详细信息,请参阅 https://bugzilla.redhat.com/show_bug.cgi?id=721033
 - 删除了所有 fonconfig 文件。JDK 现在以不同方式处理字体,因此这些文件都成为多余。这将提交至上游。
 有关详细信息,请参阅 https://bugzilla.redhat.com/show_bug.cgi?id=902227
 - 将 logging.properties 标记为 config(noreplace)
 有关详细信息,请参阅 https://bugzilla.redhat.com/show_bug.cgi?id=679180
 - 将 classes.jsa 以完整路径标记为 ghost
 有关详细信息,请参阅 https://bugzilla.redhat.com/show_bug.cgi?id=918172
 - 将 nss.cfg 标记为 config(noreplace)
 - 将符号链接添加到默认的声音字体(请参阅 541466)
 - 已解决:rhbz#950380

 [1.7.0.9-2.3.8.1.el6]
 - 已添加并应用补丁 116 - patch 116 rh905128-non_block_ciphers.patch
 - 已添加并应用补丁 117 - patch 117 java-1.7.0-openjdk-nss-multiplePKCS11libraryInitialisationNnonCritical.patch
 - 在 icedtea 2.3 中,启用 handleStartupErrors = ignoreMultipleInitialisation
 - Restored 删除了 nss 支持
 - 修复了 java-1.7.0-openjdk-nss-config-{1,2} 补丁以便对 icedtea 2.3.x 有效
 - 将 enable_nss 切换为 0 - 已禁用
 - 已解决:rhbz#950380

Tenable 已直接从 Oracle Linux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://linux.oracle.com/errata/ELSA-2013-0751.html

插件详情

严重性: Low

ID: 68811

文件名: oraclelinux_ELSA-2013-0751.nasl

版本: 1.15

类型: local

代理: unix

发布时间: 2013/7/12

最近更新时间: 2025/4/29

支持的传感器: Frictionless Assessment Agent, Nessus Agent, Continuous Assessment, Nessus

风险信息

VPR

风险因素: Critical

分数: 9.8

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 8.7

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2013-2431

CVSS v3

风险因素: Low

基本分数: 3.7

时间分数: 3.6

矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N

时间矢量: CVSS:3.0/E:H/RL:O/RC:C

CVSS 分数来源: CVE-2013-2423

漏洞信息

CPE: p-cpe:/a:oracle:linux:java-1.7.0-openjdk-javadoc, p-cpe:/a:oracle:linux:java-1.7.0-openjdk-demo, p-cpe:/a:oracle:linux:java-1.7.0-openjdk-src, p-cpe:/a:oracle:linux:java-1.7.0-openjdk-devel, p-cpe:/a:oracle:linux:java-1.7.0-openjdk, cpe:/o:oracle:linux:6

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux

可利用: true

易利用性: Exploits are available

补丁发布日期: 2013/4/18

漏洞发布日期: 2013/3/8

CISA 已知可遭利用的漏洞到期日期: 2022/6/15

可利用的方式

CANVAS (CANVAS)

Core Impact

Metasploit (Java Applet Reflection Type Confusion Remote Code Execution)

参考资料信息

CVE: CVE-2013-0401, CVE-2013-1488, CVE-2013-1518, CVE-2013-1537, CVE-2013-1557, CVE-2013-1558, CVE-2013-1569, CVE-2013-2383, CVE-2013-2384, CVE-2013-2415, CVE-2013-2417, CVE-2013-2419, CVE-2013-2420, CVE-2013-2421, CVE-2013-2422, CVE-2013-2423, CVE-2013-2424, CVE-2013-2426, CVE-2013-2429, CVE-2013-2430, CVE-2013-2431, CVE-2013-2436

BID: 58504, 58507, 59131, 59141, 59153, 59159, 59162, 59165, 59166, 59167, 59170, 59179, 59184, 59187, 59190, 59194, 59206, 59212, 59213, 59219, 59228, 59243

RHSA: 2013:0751