RHEL 5 / 6:Red Hat Satellite IBM Java Runtime (RHSA-2015:0264)
low Nessus 插件 ID 81505
语言:
简介
远程 Red Hat 缺少一个或多个 Red Hat Satellite IBM Java Runtime 安全更新。描述
远程 Redhat Enterprise Linux 5 / 6 主机上安装的程序包受到 RHSA-2015:0264 公告中提及的多个漏洞影响。- IBM JDK:通过共享的类数据的特权升级问题 (CVE-2014-3065)
- IBM JDK:Java CMS keystore 提供程序可能允许暴力破解私钥恢复 (CVE-2014-3068)
- IBM JDK:特权升级问题 (CVE-2014-3086)
- SSL/TLS:降级旧版加密攻击时的 Padding Oracle (CVE-2014-3566)
- OpenJDK:SubjectDelegator 保护不足 (JMX, 8029755) (CVE-2014-4209)
- OpenJDK:克隆传递到代理方法的接口 (Libraries, 8035009) (CVE-2014-4218)
- OpenJDK:字节码验证不会阻止 ctor 调用 this() 和 super() (Hotspot, 8035119) (CVE-2014-4219)
- Oracle JDK:已在 6u81、7u65 和 8u11 中修复的不明漏洞 (Deployment)(CVE-2014-4227、CVE-2014-4265)
- OpenJDK:RSA 伪装问题 (Security, 8031346) (CVE-2014-4244)
- OpenJDK:阻止具有非公共构造函数的服务实例化 (Security, 8035004) (CVE-2014-4252)
- OpenJDK:AtomicReferenceFieldUpdater 缺少原始类型检查 (Libraries, 8039520) (CVE-2014-4262)
- OpenJDK:Diffie-Hellman 公钥验证不充分 (Security, 8037162) (CVE-2014-4263)
- Oracle JDK:已在 6u85、7u71 和 8u25 中修复的不明漏洞 (Deployment)(CVE-2014-4288、CVE-2014-6458、CVE-2014-6492、CVE-2014-6493、CVE-2014-6503、CVE-2014-6515、CVE-2014-6532)
- OpenJDK:针对 TLS/SSL 连接的三重握手攻击 (JSSE, 8037066) (CVE-2014-6457)
- OpenJDK:加载 ResourceBundle 时,LogRecord 使用错误的 CL (Libraries, 8042797) (CVE-2014-6502)
- OpenJDK:在系统记录器上设置资源包时,权限检查不充分 (Libraries, 8041564) (CVE-2014-6506)
- ICU:布局引擎 ContextualSubstitution 缺少边界检查 (JDK 2D, 8041540) (CVE-2014-6511)
- OpenJDK:DatagramSocket 连接的套接字缺少源检查 (Libraries, 8039509) (CVE-2014-6512)
- OpenJDK:ResourceBundle 名称检查不充分 (Libraries, 8044274) (CVE-2014-6531)
- OpenJDK:CipherInputStream 不正确的异常处理 (Security, 8037846) (CVE-2014-6558)
- ICU:字体解析 OOB 读取 (OpenJDK 2D, 8055489) (CVE-2014-6585)
- OpenJDK:MulticastSocket 空指针取消引用 (Libraries, 8056264) (CVE-2014-6587)
- ICU:字体解析 OOB 读取 (OpenJDK 2D, 8056276) (CVE-2014-6591)
- OpenJDK:SSL/TLS 握手期间错误跟踪 ChangeCipherSpec (JSSE, 8057555) (CVE-2014-6593)
- IBM JDK:在 2015 年 2 月更新中已修复的不明的完整 Java 沙盒绕过 (CVE-2014-8891)
- IBM JDK:在 2015 年 2 月更新中已修复的不明的部分 Java 沙盒绕过 (CVE-2014-8892)
- OpenJDK:垃圾回收器中的虚拟引用处理问题 (Hotspot, 8047125) (CVE-2015-0395)
- Oracle JDK:已在 6u91、7u75 和 8u31 中修复的不明漏洞 (Deployment)(CVE-2015-0403、CVE-2015-0406)
- OpenJDK:通过文件选择器泄漏目录信息 (Swing, 8055304) (CVE-2015-0407)
- OpenJDK:在 RMI 传输中使用错误的上下文类装载器 (RMI, 8055309) (CVE-2015-0408)
- OpenJDK:DER 解码器无限循环 (Security, 8059485) (CVE-2015-0410)
- OpenJDK:代码特权检查不充分 (JAX-WS, 8054367) (CVE-2015-0412)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
依据 RHSA-2015:0264 中的指南更新 RHEL Red Hat Satellite IBM Java Runtime 程序包。另见
http://www.nessus.org/u?542d986c
https://www.ibm.com/developerworks/java/jdk/alerts/
https://access.redhat.com/errata/RHSA-2015:0264
https://access.redhat.com/security/updates/classification/#low
https://bugzilla.redhat.com/show_bug.cgi?id=1071210
https://bugzilla.redhat.com/show_bug.cgi?id=1075795
https://bugzilla.redhat.com/show_bug.cgi?id=1119475
https://bugzilla.redhat.com/show_bug.cgi?id=1119476
https://bugzilla.redhat.com/show_bug.cgi?id=1119596
https://bugzilla.redhat.com/show_bug.cgi?id=1119608
https://bugzilla.redhat.com/show_bug.cgi?id=1119611
https://bugzilla.redhat.com/show_bug.cgi?id=1119613
https://bugzilla.redhat.com/show_bug.cgi?id=1119912
https://bugzilla.redhat.com/show_bug.cgi?id=1119913
https://bugzilla.redhat.com/show_bug.cgi?id=1150155
https://bugzilla.redhat.com/show_bug.cgi?id=1150651
https://bugzilla.redhat.com/show_bug.cgi?id=1150669
https://bugzilla.redhat.com/show_bug.cgi?id=1151046
https://bugzilla.redhat.com/show_bug.cgi?id=1151063
https://bugzilla.redhat.com/show_bug.cgi?id=1151517
https://bugzilla.redhat.com/show_bug.cgi?id=1152756
https://bugzilla.redhat.com/show_bug.cgi?id=1152757
https://bugzilla.redhat.com/show_bug.cgi?id=1152759
https://bugzilla.redhat.com/show_bug.cgi?id=1152760
https://bugzilla.redhat.com/show_bug.cgi?id=1152761
https://bugzilla.redhat.com/show_bug.cgi?id=1152763
https://bugzilla.redhat.com/show_bug.cgi?id=1152766
https://bugzilla.redhat.com/show_bug.cgi?id=1152789
https://bugzilla.redhat.com/show_bug.cgi?id=1162554
https://bugzilla.redhat.com/show_bug.cgi?id=1164201
https://bugzilla.redhat.com/show_bug.cgi?id=1183021
https://bugzilla.redhat.com/show_bug.cgi?id=1183023
https://bugzilla.redhat.com/show_bug.cgi?id=1183031
https://bugzilla.redhat.com/show_bug.cgi?id=1183043
https://bugzilla.redhat.com/show_bug.cgi?id=1183044
https://bugzilla.redhat.com/show_bug.cgi?id=1183049
https://bugzilla.redhat.com/show_bug.cgi?id=1183645
https://bugzilla.redhat.com/show_bug.cgi?id=1183646
https://bugzilla.redhat.com/show_bug.cgi?id=1183715
https://bugzilla.redhat.com/show_bug.cgi?id=1184275
https://bugzilla.redhat.com/show_bug.cgi?id=1184277
插件详情
严重性: Low
ID: 81505
文件名: redhat-RHSA-2015-0264.nasl
版本: 1.28
类型: local
代理: unix
发布时间: 2015/2/25
最近更新时间: 2024/4/24
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
风险信息
VPR
风险因素: Critical
分数: 9.8
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 8.7
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2015-0408
CVSS v3
风险因素: Low
基本分数: 3.4
时间分数: 3.3
矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:N/A:N
时间矢量: CVSS:3.0/E:H/RL:O/RC:C
CVSS 分数来源: CVE-2014-3566
漏洞信息
CPE: p-cpe:/a:redhat:enterprise_linux:java-1.6.0-ibm, p-cpe:/a:redhat:enterprise_linux:java-1.6.0-ibm-devel, cpe:/o:redhat:enterprise_linux:5, cpe:/o:redhat:enterprise_linux:6
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
可利用: true
易利用性: Exploits are available
补丁发布日期: 2015/2/24
漏洞发布日期: 2014/7/17
参考资料信息
CVE: CVE-2014-3065, CVE-2014-3068, CVE-2014-3086, CVE-2014-3566, CVE-2014-4209, CVE-2014-4218, CVE-2014-4219, CVE-2014-4227, CVE-2014-4244, CVE-2014-4252, CVE-2014-4262, CVE-2014-4263, CVE-2014-4265, CVE-2014-4288, CVE-2014-6457, CVE-2014-6458, CVE-2014-6492, CVE-2014-6493, CVE-2014-6502, CVE-2014-6503, CVE-2014-6506, CVE-2014-6511, CVE-2014-6512, CVE-2014-6515, CVE-2014-6531, CVE-2014-6532, CVE-2014-6558, CVE-2014-6585, CVE-2014-6587, CVE-2014-6591, CVE-2014-6593, CVE-2014-8891, CVE-2014-8892, CVE-2015-0395, CVE-2015-0403, CVE-2015-0406, CVE-2015-0407, CVE-2015-0408, CVE-2015-0410, CVE-2015-0412