Oracle JRockit R28 < R28.3.7 多种漏洞(2015 年 7 月 CPU)(Bar Mitzvah) (Logjam)

high Nessus 插件 ID 84808

简介

远程 Windows 主机上安装的编程平台受到多种漏洞的影响。

描述

远程 Windows 主机上安装的 Oracle JRockit R28 版本低于 R28.3.7。因此,它受到多种漏洞的影响:

- JCE 组件中存在一个不明缺陷,可允许远程攻击者访问敏感信息。(CVE-2015-2601)

- 处理 SSL/TLS 协议时,JSSE 组件中存在不明缺陷。远程攻击者可利用此缺陷获取敏感信息的访问权限。
(CVE-2015-2625)

- 由于在初始化阶段中,状态数据与使用 RC4 加密算法的密钥数据组合不当,存在安全功能绕过漏洞,也称 Bar Mitzvah。中间人攻击者能够利用此漏洞,使用 LSB 值发动暴力破解,以解密流量。(CVE-2015-2808)

- 由于 SSL/TLS 协议中的缺陷,存在中间人漏洞,也称为 Logjam。远程攻击者可利用此缺陷,使用临时 Diffie-Hellman 密钥交换将连接降级至 512 位出口级加密。(CVE-2015-4000)

- 处理在线证书状态协议 (OCSP) 时,安全组件中存在一个不明缺陷。远程攻击者可利用此缺陷执行任意代码。(CVE-2015-4748)

- JNDI 组件中存在一个不明缺陷,允许远程攻击者造成拒绝服务。
(CVE-2015-4749)

解决方案

升级到 2015 年 7 月 Oracle 关键修补程序更新公告中提及的 JRockit R28.3.7 或更高版本。

另见

http://www.nessus.org/u?d18c2a85

插件详情

严重性: High

ID: 84808

文件名: oracle_jrockit_cpu_jul_2015.nasl

版本: 1.6

类型: local

代理: windows

系列: Windows

发布时间: 2015/7/16

最近更新时间: 2022/12/5

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.5

CVSS v2

风险因素: High

基本分数: 7.6

时间分数: 5.6

矢量: CVSS2#AV:N/AC:H/Au:N/C:C/I:C/A:C

漏洞信息

CPE: cpe:/a:oracle:jrockit

必需的 KB 项: installed_sw/Oracle JRockit

易利用性: No known exploits are available

补丁发布日期: 2015/7/14

漏洞发布日期: 2015/1/19

参考资料信息

CVE: CVE-2015-2601, CVE-2015-2625, CVE-2015-2808, CVE-2015-4000, CVE-2015-4748, CVE-2015-4749

BID: 73684, 74733, 75854, 75867, 75890, 75895