Oracle JRockit R28.3.14 多個弱點 (2017 年 7 月 CPU)

medium Nessus Plugin ID 101839

Synopsis

遠端 Windows 主機上安裝的程式設計平台受到多個弱點影響。

描述

遠端 Windows 主機上安裝的 Oracle JRockit 是 R28.3.14 版。因此,會受到多個弱點影響:- 2D 元件中存在不明缺陷,未經驗證的遠端攻擊者可藉以造成拒絕服務情形。(CVE-2017-10053) - Serialization 元件中存在多個不明缺陷,讓未經驗證的遠端攻擊者得以造成拒絕服務情形。(CVE-2017-10108、CVE-2017-10109) - JCE 元件中存在多個不明缺陷,未經驗證的遠端攻擊者可藉以洩漏敏感資訊。(CVE-2017-10115、CVE-2017-10118、CVE-2017-10135) - Security 元件中存在一個不明缺陷,讓未經驗證的遠端攻擊者得以執行任意程式碼。(CVE-2017-10116) - Security 元件中存在多個不明缺陷,未經驗證的遠端攻擊者可藉以洩漏敏感資訊。(CVE-2017-10176、CVE-2017-10198) - JAX-WS 元件中存在一個不明缺陷,讓未經驗證的遠端攻擊者得以洩漏敏感資訊,或造成拒絕服務情形。(CVE-2017-10243) 請注意,弱點 CVE-2017-10109 適用於 Java 部署,通常是在執行沙箱 Java Web Start 應用程式或沙箱 Java Applet 的用戶端中,這種部署會載入並執行不受信任的程式碼 (例如,來自網際網路的程式碼),並依賴 Java 沙箱獲得安全性。此弱點不適用於僅載入並執行受信任程式碼 (例如,系統管理員安裝的程式碼) 的 Java 部署,通常是在伺服器中。但是,以上列出的其他弱點可透過沙箱 Java Web Start 應用程式和沙箱 Java applet 來加以惡意利用。其也可以透過提供資料給指定元件的 API 而不使用沙箱化的 Java Web Start 應用程式或是沙箱化的 Java Applet (例如透過網頁服務) 而遭到惡意利用。

解決方案

升級至 2017 年 7 月 Oracle 重要修補程式更新公告中所述的 Oracle JRockit R28.3.15 版或更新版本。

另請參閱

http://www.nessus.org/u?446d16c2

Plugin 詳細資訊

嚴重性: Medium

ID: 101839

檔案名稱: oracle_jrockit_cpu_jul_2017.nasl

版本: 1.8

類型: local

代理程式: windows

系列: Windows

已發布: 2017/7/20

已更新: 2019/11/12

支持的傳感器: Nessus Agent

風險資訊

VPR

風險因素: High

分數: 7.3

CVSS v2

風險因素: Medium

基本分數: 6.4

時間分數: 4.7

媒介: AV:N/AC:L/Au:N/C:P/I:N/A:P

時間媒介: E:U/RL:OF/RC:C

CVSS 評分資料來源: CVE-2017-10243

CVSS v3

風險因素: Medium

基本分數: 6.5

時間分數: 5.7

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:L

時間媒介: E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/a:oracle:jrockit

必要的 KB 項目: installed_sw/Oracle JRockit

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2017/7/18

弱點發布日期: 2017/7/18

參考資訊

CVE: CVE-2017-10053, CVE-2017-10108, CVE-2017-10109, CVE-2017-10115, CVE-2017-10116, CVE-2017-10118, CVE-2017-10135, CVE-2017-10176, CVE-2017-10198, CVE-2017-10243

BID: 99734, 99774, 99782, 99788, 99818, 99827, 99839, 99842, 99846, 99847