Oracle Java SE Multiple Vulnerabilities (July 2017 CPU) (Unix)

critical Nessus Plugin ID 101844

Synopsis

遠端 Unix 主機包含的程式設計平台受到多種弱點的影響。

描述

遠端主機上安裝的 Oracle (前身為 Sun) Java SE 或 Java for Business 版本比 8 Update 141、7 Update 151 或 6 Update 161 舊。因此,會受到多個弱點影響:- 2D 元件中存在不明缺陷,未經驗證的遠端攻擊者可藉以造成拒絕服務情形。(CVE-2017-10053) - Security 元件存在多個不明缺陷,未經驗證的遠端攻擊者可藉以執行任意程式碼。(CVE-2017-10067、CVE-2017-10116) - Hotspot 元件中存在不明缺陷,未經驗證的遠端攻擊者可藉以執行任意程式碼。(CVE-2017-10074) - Scripting 元件中存在不明缺陷,經驗證的遠端攻擊者可藉以影響機密性和完整性。(CVE-2017-10078) - Hotspot 元件中存在不明缺陷,未經驗證的遠端攻擊者可藉以影響完整性。(CVE-2017-10081) - JavaFX 元件中存在多個不明缺陷,未經驗證的遠端攻擊者可藉以執行任意程式碼。(CVE-2017-10086、CVE-2017-10114) - Libraries 元件中存在多個不明缺陷,未經驗證的遠端攻擊者可藉以執行任意程式碼。(CVE-2017-10087、CVE-2017-10090、CVE-2017-10111) - ImageIO 元件中存在不明缺陷,未經驗證的遠端攻擊者可藉以執行任意程式碼。(CVE-2017-10089) - JAXP 元件中存在多個不明缺陷,未經驗證的遠端攻擊者可藉以執行任意程式碼。(CVE-2017-10096、CVE-2017-10101) - RMI 元件中存在多個不明缺陷,未經驗證的遠端攻擊者可藉以執行任意程式碼。(CVE-2017-10102、CVE-2017-10107) - Java Advanced Management Console 的 Server 元件中存在多個不明缺陷,經驗證的遠端攻擊者可藉以影響機密性、完整性與可用性。(CVE-2017-10104、CVE-2017-10145) - Deployment 元件中存在不明缺陷,未經驗證的遠端攻擊者可藉以影響完整性。(CVE-2017-10105) - Serialization 元件中存在多個不明缺陷,未經驗證的遠端攻擊者可藉以耗盡可用記憶體,從而造成拒絕服務情形。(CVE-2017-10108、CVE-2017-10109) - AWT 元件中存在不明缺陷,未經驗證的遠端攻擊者可藉以執行任意程式碼。(CVE-2017-10110) - JCE 元件中存在多個不明缺陷,未經驗證的遠端攻擊者可藉以洩露敏感資訊。(CVE-2017-10115、CVE-2017-10118、CVE-2017-10135) - Java Advanced Management Console 的 Server 元件中存在不明缺陷,未經驗證的遠端攻擊者可藉以洩露敏感資訊。(CVE-2017-10117) - Java Advanced Management Console 的 Server 元件中存在不明缺陷,未經驗證的遠端攻擊者可藉以影響機密性與完整性。(CVE-2017-10121) - Deployment 元件中存在不明缺陷,本機攻擊者可藉以影響機密性、完整性和可用性。(CVE-2017-10125) - Security 元件中存在多個不明缺陷,未經驗證的遠端攻擊者可藉以洩露敏感資訊。(CVE-2017-10176、CVE-2017-10193、CVE-2017-10198) - JAX-WS 元件中存在不明缺陷,未經驗證的遠端攻擊者可藉以影響機密性和可用性。(CVE-2017-10243)

解決方案

升級至 Oracle JDK / JRE 8 Update 141 / 7 Update 151 / 6 Update 161 或更新版本。視需要移除任何受影響的版本。請注意,需要 Oracle 的延伸維護合約才能取得 JDK / JRE 6 Update 95 或更新版本。

另請參閱

http://www.nessus.org/u?76f5def7

http://www.nessus.org/u?755142b1

http://www.nessus.org/u?2fbcacca

http://www.nessus.org/u?726f7054

Plugin 詳細資訊

嚴重性: Critical

ID: 101844

檔案名稱: oracle_java_cpu_jul_2017_unix.nasl

版本: 1.7

類型: local

代理程式: unix

系列: Misc.

已發布: 2017/7/20

已更新: 2022/4/11

組態: 啟用徹底檢查

支持的傳感器: Nessus Agent

風險資訊

VPR

風險因素: High

分數: 8.1

CVSS v2

風險因素: Medium

基本分數: 6.8

時間分數: 5

媒介: AV:N/AC:M/Au:N/C:P/I:P/A:P

時間媒介: E:U/RL:OF/RC:C

CVSS 評分資料來源: CVE-2017-10111

CVSS v3

風險因素: Critical

基本分數: 9.6

時間分數: 8.3

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

時間媒介: E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/a:oracle:jre, cpe:/a:oracle:jdk

必要的 KB 項目: Host/Java/JRE/Installed

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2017/7/18

弱點發布日期: 2017/7/18

參考資訊

CVE: CVE-2017-10053, CVE-2017-10067, CVE-2017-10074, CVE-2017-10078, CVE-2017-10081, CVE-2017-10086, CVE-2017-10087, CVE-2017-10089, CVE-2017-10090, CVE-2017-10096, CVE-2017-10101, CVE-2017-10102, CVE-2017-10104, CVE-2017-10105, CVE-2017-10107, CVE-2017-10108, CVE-2017-10109, CVE-2017-10110, CVE-2017-10111, CVE-2017-10114, CVE-2017-10115, CVE-2017-10116, CVE-2017-10117, CVE-2017-10118, CVE-2017-10121, CVE-2017-10125, CVE-2017-10135, CVE-2017-10145, CVE-2017-10176, CVE-2017-10193, CVE-2017-10198, CVE-2017-10243

BID: 99643, 99659, 99662, 99670, 99674, 99703, 99706, 99707, 99712, 99719, 99726, 99731, 99734, 99752, 99756, 99774, 99782, 99788, 99797, 99804, 99809, 99818, 99827, 99832, 99835, 99839, 99842, 99846, 99847, 99851, 99853, 99854