CH azonosító
CH-9443Angol cím
Oracle Java Multiple VulnerabilitiesFelfedezés dátuma
2013.06.18.Súlyosság
MagasÖsszefoglaló
Az Oracle Java olyan sérülékenységei váltak ismertté, amelyeket kihasználva a rosszindulatú, helyi felhasználók bizalmas információkat és emelt szintű jogosultságot szerezhetnek, illetve a támadók hamisításos (spoofing) támadásokat hajthatnak végre, bizalmas információkat szerezhetnek meg, módosíthatnak bizonyos adatokat, szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő, és feltörhetik a sérülékeny rendszert.
Leírás
- A kliens telepítés 2D komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel tetszőleges kódot lehet végrehajtani.
- A kliens telepítés 2D komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel tetszőleges kódot lehet végrehajtani.
- A kliens telepítés 2D komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel tetszőleges kódot lehet végrehajtani.
- A kliens telepítés 2D komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel tetszőleges kódot lehet végrehajtani.
- A kliens telepítés 2D komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel tetszőleges kódot lehet végrehajtani.
- A kliens telepítés 2D komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel tetszőleges kódot lehet végrehajtani.
- A kliens telepítés 2D komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel tetszőleges kódot lehet végrehajtani.
- A kliens telepítés 2D komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel tetszőleges kódot lehet végrehajtani.
- A kliens telepítés AWT komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel tetszőleges kódot lehet végrehajtani.
- A kliens telepítés Deployment komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel tetszőleges kódot lehet végrehajtani.
- A kliens telepítés Deployment komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel tetszőleges kódot lehet végrehajtani.
- A kliens telepítés AWT komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel tetszőleges kódot lehet végrehajtani.
- A kliens telepítés Deployment komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel tetszőleges kódot lehet végrehajtani.
- A kliens telepítés Serviceability komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel tetszőleges kódot lehet végrehajtani.
- A kliens telepítés Serviceability komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel tetszőleges kódot lehet végrehajtani.
- A kliens telepítés Serviceability komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel tetszőleges kódot lehet végrehajtani.
- A kliens telepítés Serviceability komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel tetszőleges kódot lehet végrehajtani.
- A kliens és szerver telepítés Libraries komponensének egy nem részletezett hibáját kihasználva tetszőleges kódot lehet végrehajtani.
- A kliens és szerver telepítés Install komponensének egy nem részletezett hibáját kihasználva a helyi felhasználók emelt szintű jogosultságokat szerezhetnek.
- A kliens és szerver telepítés Libraries komponensének egy nem részletezett hibáját kihasználva bizalmas információkat lehet szerezni, illetve szolgáltatás megtagadást előidézni.
- A kliens telepítés JDBC komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel bizalmas információkat lehet szerezni, illetve módosítani egyes adatokat.
- A kliens telepítés Libraries komponensének egy nem részletezett hibáját kihasználva bizalmas információkat lehet szerezni, illetve módosítani egyes adatokat.
- A kliens telepítés AWT komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel szolgáltatás megtagadást lehet előidézni.
- A kliens telepítés CORBA komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel szolgáltatás megtagadást lehet előidézni.
- A kliens telepítés Deployment komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel bizalmas információkat lehet szerezni.
- A kliens telepítés Deployment komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel módosítani lehet egyes adatokat.
- A kliens telepítés Deployment komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel módosítani lehet egyes adatokat.
- A kliens és szerver telepítés JMX komponensének egy nem részletezett hibáját kihasználva módosítani lehet egyes adatokat.
- A kliens és szerver telepítés JMX komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel módosítani lehet egyes adatokat.
- A kliens telepítés Libraries komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel bizalmas információkat lehet szerezni.
- A kliens telepítés Libraries komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel bizalmas információkat lehet szerezni.
- A kliens telepítés Libraries komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel bizalmas információkat lehet szerezni.
- A kliens telepítés Networking komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel bizalmas információkat lehet szerezni.
- A kliens telepítés Serialization komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel szolgáltatás lehet előidézni.
- A kliens telepítés Serialization komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel bizalmas információkat lehet szerezni.
- A kliens telepítés Serviceability komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel bizalmas információkat lehet szerezni.
- A kliens telepítés Libraries komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel bizalmas információkat lehet szerezni.
- A Javadoc tool-lal generált dokumentumoknak URL-en keresztül átadott bizonyos bemeneti adatok nem megfelelően vannak megtisztítva mielőtt frame-ekben adatok megjelenítésére felhasználásra kerülnének. Ezt kihasználva tetszőleges tartalmat lehet megjeleníteni a felhasználó számára, ha az rákattint egy speciálisan elkészített hivatkozásra.
- A kliens és szerver telepítés Networking komponensének egy nem részletezett hibáját kihasználva emelt szintű jogosultságokat lehet szerezni.
- A kliens telepítés 2D komponensének egy nem részletezett hibáját kihasználva a helyi felhasználók bizalmas információkat szerezhetnek, illetve módosíthatnak egyes adatokat.
A sérülékenységek a következő termékekben találhatók:
* JDK and JRE 7 Update 21 és korábbi verziók
* JDK and JRE 6 Update 45 és korábbi verziók
* JDK and JRE 5 Update 45 és korábbi verziók
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Unspecified (Nem részletezett)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.oracle.com
Gyártói referencia: www.oracle.com
SECUNIA 53846
CVE-2013-1500 - NVD CVE-2013-1500
CVE-2013-1571 - NVD CVE-2013-1571
CVE-2013-2400 - NVD CVE-2013-2400
CVE-2013-2407 - NVD CVE-2013-2407
CVE-2013-2412 - NVD CVE-2013-2412
CVE-2013-2437 - NVD CVE-2013-2437
CVE-2013-2442 - NVD CVE-2013-2442
CVE-2013-2443 - NVD CVE-2013-2443
CVE-2013-2444 - NVD CVE-2013-2444
CVE-2013-2445 - NVD CVE-2013-2445
CVE-2013-2446 - NVD CVE-2013-2446
CVE-2013-2447 - NVD CVE-2013-2447
CVE-2013-2448 - NVD CVE-2013-2448
CVE-2013-2449 - NVD CVE-2013-2449
CVE-2013-2450 - NVD CVE-2013-2450
CVE-2013-2451 - NVD CVE-2013-2451
CVE-2013-2452 - NVD CVE-2013-2452
CVE-2013-2453 - NVD CVE-2013-2453
CVE-2013-2454 - NVD CVE-2013-2454
CVE-2013-2455 - NVD CVE-2013-2455
CVE-2013-2456 - NVD CVE-2013-2456
CVE-2013-2457 - NVD CVE-2013-2457
CVE-2013-2458 - NVD CVE-2013-2458
CVE-2013-2459 - NVD CVE-2013-2459
CVE-2013-2460 - NVD CVE-2013-2460
CVE-2013-2461 - NVD CVE-2013-2461
CVE-2013-2462 - NVD CVE-2013-2462
CVE-2013-2463 - NVD CVE-2013-2463
CVE-2013-2464 - NVD CVE-2013-2464
CVE-2013-2465 - NVD CVE-2013-2465
CVE-2013-2466 - NVD CVE-2013-2466
CVE-2013-2467 - NVD CVE-2013-2467
CVE-2013-2468 - NVD CVE-2013-2468
CVE-2013-2469 - NVD CVE-2013-2469
CVE-2013-2470 - NVD CVE-2013-2470
CVE-2013-2471 - NVD CVE-2013-2471
CVE-2013-2472 - NVD CVE-2013-2472
CVE-2013-2473 - NVD CVE-2013-2473
CVE-2013-3743 - NVD CVE-2013-3743
CVE-2013-3744 - NVD CVE-2013-3744