Oracle Java többszörös sérülékenység


2014. január 15. 10:33

CH azonosító

CH-10354

Angol cím

Oracle Java Multiple Vulnerabilities

Felfedezés dátuma

2014.01.14.

Súlyosság

Magas

Érintett rendszerek

Java JDK
Java JRE
Oracle

Érintett verziók

Oracle Java JDK 1.5.x / 5.x
Oracle Java JDK 1.6.x / 6.x
Oracle Java JDK 1.7.x / 7.x
Oracle Java JRE 1.5.x / 5.x
Oracle Java JRE 1.6.x / 6.x
Oracle Java JRE 1.7.x / 7.x

Összefoglaló

Az Oracle Java sérülékenységei váltak ismerrté, amiket kihasználva a helyi támadók bizalmas információkhoz férhetnek hozzá, módosíthatnak adatokat és szolgáltatás megtagadást (DoS Denial of Service) idézhetnek elő.

A távoli támadók bizalmas információkhoz férhetnek hozzá, módosíthatnak adatokat és szolgáltatás megtagadást (DoS Denial of Service) idézhetnek elő, valamint feltörhetik a sérülékeny rendszert.

Leírás

  • A kliensen telepített Deployment alkomponens két hibája kihasználható azzal, hogy egy nem megbízható Java Web Start vagy Java applikáció tetszőleges kódot futtathat.
  • A kliensen, vagy szerveren telepített 2D alkomponens kihasználható, tetszőleges kód futtatására.
  • A kliensen telepített CORBA alkomponens kihasználható, hogy egy nem megbízható Java Web Start vagy Java applikáció tetszőleges kódot futtathat.
  • A kliensen telepített JNDI alkomponens kihasználható, hogy egy nem megbízható Java Web Start vagy Java applikáció tetszőleges kódot futtathat.
  • Egy telepítő alkomponens hibája kihasználható, hogy a telepítés közben tetszőleges kód futtatható.
  • Egy telepítő alkomponens hibája kihasználható, hogy egy nem megbízható Java Web Start vagy Java applikáció tetszőleges kódot futtathat.
  • A Hotspot alkomponens hibája kihasználható, hogy egy nem megbízható Java Web Start vagy Java applikáció tetszőleges kódot futtathat.
  • A Libraries alkomponens hibája kihasználható, hogy egy nem megbízható Java Web Start vagy Java applikáció tetszőleges kódot futtathat.
  • A 2D alkomponens hibája kihasználható hogy, egy nem megbízható Java Web Start vagy Java applikáció tetszőleges kódot futtathat.
  • Egy telepítő alkomponens hibája kihasználható, hogy egy nem megbízható Java Web Start vagy Java applikáció tetszőleges kódot futtathat.
  • Egy telepítő alkomponens hibája kihasználható, hogy egy nem megbízható Java Web Start vagy Java applikáció hozzáférhet módosíthat, vagy törölhet bizalmas adatokat, hogy összeomlást idézzen elő.
  • Egy kiszolgáló alkomponens hibája kihasználható, hogy egy nem megbízható Java Web Start vagy Java applikáció hozzáférhet módosíthat vagy törölhet bizalmas adatokat, hogy összeomlást idézzen elő.
  • Egy Biztonsági alkomponens hibája kihasználható, hogy egy nem megbízható Java Web Start vagy Java applikáció hozzáférhet módosíthat vagy törölhet bizalmas adatokat, hogy összeomlást idézzen elő.
  • Egy JavaFX alkomponens hibája kihasználható, hogy egy nem megbízható Java Web Start vagy Java applikáció hozzáférhet módosíthat vagy törölhet bizalmas adatokat, hogy összeomlást idézzen elő.
  • Egy Beans alkomponens hibája kihasználható, hogy egy nem megbízható Java Web Start vagy Java applikáció hozzáférhet módosíthat vagy törölhet bizalmas adatokat, hogy összeomlást idézzen elő.
  • Egy Telepítő alkomponens hibája kihasználható, hogy egy nem megbízható Java Web Start vagy Java applikáció összeomlást idézzen elő.
  • Egy CORBA alkomponens hibája kihasználható, hogy egy nem megbízható Java Web Start vagy Java applikáció összeomlást idézzen elő.
  • Egy CORBA alkomponens hibája kihasználható, hogy egy nem megbízható Java Web Start vagy Java applikáció hozzáférhet bizalmas információkhoz .
  • Egy CORBA alkomponens hibája kihasználható, hogy egy nem megbízható Java Web Start vagy Java applikáció hozzáférhet bizalmas információkhoz .
  • Egy JAAS alkomponens hibája kihasználható hogy egy nem megbízható Java Web Start vagy Java applikáció hozzáférhet módosíthat vagy törölhet bizalmas adatokat.
  • Egy JAXP alkomponens hibája kihasználható hogy egy nem megbízható Java Web Start vagy Java applikáció hozzáférhet módosíthat vagy törölhet bizalmas adatokat.
  • Egy Hálózati alkomponens hibája kihasználható hogy egy nem megbízható Java Web Start vagy Java applikáció hozzáférhet bizalmas információkhoz .
  • Egy biztonsági alkomponens hibája kihasználható hogy egy nem megbízható Java Web Start vagy Java applikáció hozzáférhet módosíthat vagy törölhet bizalmas adatokat.
  • Egy JavaFX alkomponens hibája kihasználható hogy egy nem megbízható Java Web Start vagy Java applikáció hozzáférhet módosíthat vagy törölhet bizalmas adatokat.
  • Egy biztonsági alkomponens hibája a GNOME-ban kihasználható, hogy egy nem megbízható Java Web Start vagy Java applikáció hozzáférhet módosíthat vagy törölhet bizalmas adatokat és összeomlást idézhet elő.

A sérülékenységeket az alábbi termékek verziójából jelentették:
* JDK and JRE 7 Update 45 vagy előbbi.
* JDK and JRE 6 Update 65 vagy előbbi.
* JDK and JRE 5 Update 55 vagy előbbi.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Deny of service (Szolgáltatás megtagadás)
Other (Egyéb)
System access (Rendszer hozzáférés)

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.oracle.com
Gyártói referencia: www.oracle.com
SECUNIA 56485
CVE-2013-5870 - NVD CVE-2013-5870
CVE-2013-5878 - NVD CVE-2013-5878
CVE-2013-5884 - NVD CVE-2013-5884
CVE-2013-5887 - NVD CVE-2013-5887
CVE-2013-5888 - NVD CVE-2013-5888
CVE-2013-5889 - NVD CVE-2013-5889
CVE-2013-5893 - NVD CVE-2013-5893
CVE-2013-5895 - NVD CVE-2013-5895
CVE-2013-5896 - NVD CVE-2013-5896
CVE-2013-5898 - NVD CVE-2013-5898
CVE-2013-5899 - NVD CVE-2013-5899
CVE-2013-5902 - NVD CVE-2013-5902
CVE-2013-5904 - NVD CVE-2013-5904
CVE-2013-5905 - NVD CVE-2013-5905
CVE-2013-5906 - NVD CVE-2013-5906
CVE-2013-5907 - NVD CVE-2013-5907
CVE-2013-5910 - NVD CVE-2013-5910
CVE-2014-0368 - NVD CVE-2014-0368
CVE-2014-0373 - NVD CVE-2014-0373
CVE-2014-0375 - NVD CVE-2014-0375
CVE-2014-0376 - NVD CVE-2014-0376
CVE-2014-0382 - NVD CVE-2014-0382
CVE-2014-0385 - NVD CVE-2014-0385
CVE-2014-0387 - NVD CVE-2014-0387
CVE-2014-0403 - NVD CVE-2014-0403
CVE-2014-0408 - NVD CVE-2014-0408
CVE-2014-0410 - NVD CVE-2014-0410
CVE-2014-0411 - NVD CVE-2014-0411
CVE-2014-0415 - NVD CVE-2014-0415
CVE-2014-0416 - NVD CVE-2014-0416
CVE-2014-0417 - NVD CVE-2014-0417
CVE-2014-0418 - NVD CVE-2014-0418
CVE-2014-0422 - NVD CVE-2014-0422
CVE-2014-0423 - NVD CVE-2014-0423
CVE-2014-0424 - NVD CVE-2014-0424
CVE-2014-0428 - NVD CVE-2014-0428

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2010-3765 – Mozilla Multiple Products RCE sérülékenysége
CVE-2013-3918 – Microsoft Windows Out-of-Bounds Write sérülékenysége
CVE-2025-27915 – Synacor Zimbra Collaboration Suite (ZCS) Cross-site Scripting sérülékenysége
CVE-2010-3962 – Microsoft Internet Explorer Uninitialized Memory Corruption sérülékenysége
CVE-2021-22555 – Linux Kernel Heap Out-of-Bounds Write sérülékenysége
CVE-2025-4008 – Smartbedded Meteobridge Command Injection sérülékenysége
CVE-2015-7755 – Juniper ScreenOS Improper Authentication sérülékenysége
CVE-2017-1000353 – Jenkins RCE sérülékenysége
CVE-2014-6278 – GNU Bash OS Command Injection sérülékenysége
Tovább a sérülékenységekhez »