Oracle Java SE sérülékenységek


2018. január 17. 08:59

CH azonosító

CH-14348

Angol cím

Oracle Java SE Multiple Flaws

Felfedezés dátuma

2018.01.16.

Súlyosság

Magas

Érintett rendszerek

Java SE
Oracle

Érintett verziók

Java SE 6u171 előtti verziók
Java SE 7u161 előtti verziók
Java SE 8u152 előtti verziók
Java SE 9.0.1 előtti verziók

Az egyes komponensek verziószáma eltérhetnek a fentiektől. Olvassa át a gyártói hivatkozást!

Összefoglaló

Az Oracle Java SE számos sérülékenységét jelentették, amiket kihasználva emelt szintű jogosultságokat lehet szerezni, hozzáférni és módosítani lehet bizonyos adatokat, illetve szolgáltatás megtagadást lehet előidézni.

Leírás

  • A Java SE Deployment egy hibáját kihasználva emelt szintű jogosultságokat lehet szerezni.
    A Java SE-ben, Java SE Embedded-ben és a JRockit JNDI komponensben lévő hibát kihasználva emelt szintű jogosultságokat lehet szerezni.
  • A Java SE Installer komponensben lévő hibát kihasználva emelt szintű jogosultságokat lehet szerezni.
  • A Java SE, Java SE Embedded és a JRockit JMX komponens egy hibáját kihasználva hozzá lehet férni és módosítani az adatokat.
  • A Java SE és a Java SE Embedded JGSS komponens egy hibáját kihasználva hozzá lehet férni az adatokhoz.
  • A Java SE és a Java SE Embedded Hotspot komponens egy hibáját kihasználva módosítani lehet az adatokat.
  • A Java SE és a Java SE Embedded AWT komponens egy hibáját kihasználva módosítani lehet az adatokat.
  • A Java SE, Java SE Embedded és a JRockit JCE komponens egy hibáját kihasználva hozzá lehet férni az adatokhoz.
  • A Java SE, Java SE Embedded és a JRockit JGSS komponens egy hibáját kihasználva módosítani lehet az adatokat.
  • A Java SE, Java SE Embedded és a JRockit Libraries komponens egy hibáját kihasználva részleges szolgáltatás megtagadást lehet előidézni.
  • A Java SE és a JRockit Serialization komponens egy hibáját kihasználva részleges szolgáltatás megtagadást lehet előidézni.
  • A Java SE, Java SE Embedded és a JRockit JNDI komponens egy hibáját kihasználva részlegesen módosítni lehet az adatokat, illetve részleges szolgáltatás megtagadást lehet előidézni.
  • A Java SE JavaFX komponens egy hibáját kihasználva részlegesen hozzá lehet férni az adatokhoz.
  • A Java SE, Java SE Embedded I18n komponens egy hibáját kihasználva részlegesen hozzá lehet férni és módosítani az adatokat, valamint részleges szolgáltatás megtagadást lehet előidézni.
  • A Java SE és a Java SE Embedded AWT komponens egy hibáját kihasználva részleges szolgáltatás megtagadást lehet előidézni.
  • A Java SE, Java SE Embedded és a JRockit JNDI komponens egy hibáját kihasználva részleges szolgáltatás megtagadást lehet előidézni.
  • A Java SE, Java SE Embedded és a JRockit LDAP komponens egy hibáját kihasználva részlegesen hozzá lehet férni az adatokhoz.
  • A Java SE, Java SE Embedded és a JRockit Libraries komponens egy hibáját kihasználva részleges szolgáltatás megtagadást lehet előidézni.
  • A Java Advanced Management Console Server komponens egy hibáját kihasználva részlegesen hozzá lehet férni az adatokhoz.
  • A Java SE, Java SE Embedded és a JRockit Libraries komponens egy hibáját kihasználva részlegesen hozzá lehet férni az adatokhoz.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Unknown (Ismeretlen)

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Local/Shell (Helyi/shell)
Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.oracle.com
Egyéb referencia: securitytracker.com
CVE-2018-2579 - NVD CVE-2018-2579
CVE-2018-2581 - NVD CVE-2018-2581
CVE-2018-2582 - NVD CVE-2018-2582
CVE-2018-2588 - NVD CVE-2018-2588
CVE-2018-2599 - NVD CVE-2018-2599
CVE-2018-2602 - NVD CVE-2018-2602
CVE-2018-2603 - NVD CVE-2018-2603
CVE-2018-2618 - NVD CVE-2018-2618
CVE-2018-2627 - NVD CVE-2018-2627
CVE-2018-2629 - NVD CVE-2018-2629
CVE-2018-2633 - NVD CVE-2018-2633
CVE-2018-2634 - NVD CVE-2018-2634
CVE-2018-2637 - NVD CVE-2018-2637
CVE-2018-2638 - NVD CVE-2018-2638
CVE-2018-2639 - NVD CVE-2018-2639
CVE-2018-2641 - NVD CVE-2018-2641
CVE-2018-2657 - NVD CVE-2018-2657
CVE-2018-2663 - NVD CVE-2018-2663
CVE-2018-2675 - NVD CVE-2018-2675
CVE-2018-2677 - NVD CVE-2018-2677
CVE-2018-2678 - NVD CVE-2018-2678

Legfrissebb sérülékenységek
CVE-2024-10924 – Really Simple Security WordPress plugin authentication bypass sérülékenysége
CVE-2024-1212 – LoadMaster szoftver RCE (remote-code-execution) sérülékenysége
CVE-2024-38813 – VMware vCenter Server privilege escalation sérülékenysége
CVE-2024-38812 – VMware vCenter Server heap-based overflow sérülékenysége
CVE-2024-0012 – Palo Alto Networks PAN-OS software sérülékenysége
CVE-2024-9474 – Palo Alto Networks PAN-OS Management Interface sérülékenysége
CVE-2024-43093 – Android Framework Privilege Escalation sebezhetősége
CVE-2021-26086 – Atlassian Jira Server and Data Center Path Traversal sebezhetősége
CVE-2014-2120 – Cisco Adaptive Security Appliance (ASA) Cross-Site Scripting (XSS) sebezhetősége
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
Tovább a sérülékenységekhez »