偵測

Amazon Linux AMI:java-1.7.0-openjdk (ALAS-2017-835)

high Nessus Plugin ID 100636

語言:

概要

遠端 Amazon Linux AMI 主機缺少一個安全性更新。

說明

在 的 JCE 元件中發現一個不受信任程式庫搜尋路徑缺陷

OpenJDK。本機攻擊者可能利用此缺陷造成 Java

使用 JCE 的應用程式載入受攻擊者控制的程式庫並因此升級

權限。 (CVE-2017-3511)

據發現OpenJDK 的 JAXP 元件無法正確強制執行

剖析 XML 文件時的剖析樹狀結構大小限制。攻擊者能夠

Java 應用程式剖析特製的 XML 文件可利用此瑕疵

使其消耗過量的 CPU 和記憶體。 (CVE-2017-3526)

據發現Networking 中的 HTTP 用戶端實作

OpenJDK 的元件可在 中快取及重複使用 NTLM 驗證的連線

安全性內容。遠端攻擊者可能利用此瑕疵

使 Java 應用程式執行以 認證為驗證的 HTTP 要求

其他使用者。 (CVE-2017-3509)

據發現OpenJDK 的 Security 元件不允許使用者

限制允許用於 Jar 完整性驗證的演算法集。此

缺陷可允許攻擊者使用弱式

簽署金鑰或雜湊演算法。 (CVE-2017-3539)

在 FTP 和 SMTP 用戶端實作中發現新行插入缺陷

在 OpenJDK 的 Networking 元件中。遠端攻擊者可能利用

透過這些瑕疵操控由 Java 伺服器建立的 FTP 或 SMTP 連線

應用程式。 (CVE-2017-3533 、 CVE-2017-3544)

注意:此更新新增了「jdk.ntlm.cache」系統內容支援其中

設為 false 時可防止快取 NTLM 連線及驗證

因此可防止此問題發生。不過,快取作業仍預設為啟用狀態。

注意此更新延伸了 CVE-2016-5542 的修正其作為 的一部分發布

RHSA-2016-2658 在 Jar 執行期間不再允許 MD5 雜湊演算法的錯字勘誤表

將完整性驗證新增至 jdk.jar.disabledAlgorithms 安全性

屬性。

解決方案

執行 yum update java-1.7.0-openjdk'以更新系統。

另請參閱

https://alas.aws.amazon.com/ALAS-2017-835.html

Plugin 詳細資訊

嚴重性: High

ID: 100636

檔案名稱: ala_ALAS-2017-835.nasl

版本: 3.4

類型: local

代理程式: unix

已發布: 2017/6/7

已更新: 2025/12/17

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

風險資訊

VPR

風險因素: High

分數: 7.3

CVSS v2

風險因素: Medium

基本分數: 4.3

時間性分數: 3.4

媒介: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

CVSS 評分資料來源: CVE-2017-3544

CVSS v3

風險因素: High

基本分數: 7.7

時間性分數: 6.9

媒介: CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:P/RL:O/RC:C

CVSS 評分資料來源: CVE-2017-3511

弱點資訊

CPE: p-cpe:/a:amazon:linux:java-1.7.0-openjdk-javadoc, p-cpe:/a:amazon:linux:java-1.7.0-openjdk-src, p-cpe:/a:amazon:linux:java-1.7.0-openjdk-devel, p-cpe:/a:amazon:linux:java-1.7.0-openjdk, cpe:/o:amazon:linux, p-cpe:/a:amazon:linux:java-1.7.0-openjdk-demo, p-cpe:/a:amazon:linux:java-1.7.0-openjdk-debuginfo

必要的 KB 項目: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2017/6/6

參考資訊

CVE: CVE-2016-5542, CVE-2017-3509, CVE-2017-3511, CVE-2017-3526, CVE-2017-3533, CVE-2017-3539, CVE-2017-3544

ALAS: 2017-835

RHSA: 2017:1204