Oracle Java SE Multiple Vulnerabilities (October 2018 CPU) (Unix)

critical Nessus Plugin ID 118227

概要

遠端 Unix 主機包含的程式設計平台受到多種弱點的影響。

說明

遠端主機上安裝的 Oracle (之前稱為 Sun) Java SE 或 Java for Business 版本比 11 Update 1、8 Update 191、7 Update 201,或 6 Update 211 舊。因此,會受到多個弱點影響:- 在 Oracle Java SE 中,Java SE Embedded 元件的 Deployment (libpng) 子元件內有一個不明弱點,具有網路存取權限的未經驗證遠端攻擊者可藉以透過 HTTP 入侵 Java SE。(CVE-2018-13785) - 在 Oracle Java SE 中,Java SE Embedded 元件的 Hotspot 子元件內有一個不明弱點,具有網路存取權限的未經驗證遠端攻擊者可透過多個通訊協定入侵 Java SE (CVE-2018-3169) - 在 Oracle Java SE 中,Java SE 元件的 JavaFX 子元件內有一個不明弱點,具有網路存取權限的未經驗證遠端攻擊者可透過多個通訊協定入侵 Java SE。(CVE-2018-3209) - 在 Oracle Java SE 中,Java SE、Java SE Embedded 和 JRockit 元件的 JNDI 子元件內有一個不明弱點,具有網路存取權限的未經驗證遠端攻擊者可藉以透過多個通訊協定入侵 Java SE、Java SE Embedded 和 JRockit。(CVE-2018-3149) - 在 Oracle Java SE 中,Java SE、Java SE Embedded 和 JRockit 元件的 JSSE 子元件內有一個不明弱點,具有網路存取權限的未經驗證遠端攻擊者可藉以透過 SSL/TLS 入侵 Java SE、Java SE Embedded 或 JRockit。(CVE-2018-3180) - 在 Oracle Java SE 中,Java SE、Java SE Embedded 元件的 Networking 子元件內有一個不明弱點,具有網路存取權限的未經驗證遠端攻擊者可藉以透過多個通訊協定入侵 Java SE 或 Java SE Embedded。(CVE-2018-3139) - 在 Oracle Java SE 中,Java SE、Java SE Embedded 和 JRockit 元件的 Scripting 子元件內有一個不明弱點,具有網路存取權限的未經驗證遠端攻擊者可藉以透過多個通訊協定入侵 Java SE、Java SE Embedded 或 JRockit。(CVE-2018-3183) - 在 Oracle Java SE 中,Java SE、Java SE Embedded 元件的 Security 子元件內有一個不明弱點,具有網路存取權限的未經驗證遠端攻擊者可藉以透過多個通訊協定入侵 Java SE、Java SE Embedded。(CVE-2018-3136) - 在 Oracle Java SE 中,Java SE、Java SE Embedded 元件的 Serviceability 子元件內有一個不明弱點,低權限攻擊者得以登入 Java SE、Java SE Embedded 執行所在的基礎結構,以入侵 Java SE、Java SE Embedded。(CVE-2018-3211) - 在 Oracle Jave SE 中,Java SE 元件的 Sound 子元件內有一個不明弱點,具有網路存取權限的未經驗證遠端攻擊者可藉以透過多個通訊協定入侵 Java SE。(CVE-2018-3157) - 在 Oracle Jave SE 中,Java SE 元件的 Utility 子元件內有一個不明弱點,具有網路存取權限的未經驗證遠端攻擊者可藉以透過多個通訊協定入侵 Java SE。(CVE-2018-3150) 請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼。

解決方案

升級至 Oracle JDK / JRE 11 Update 1、8 Update 191 / 7 Update 201 / 6 Update 211 或更新版本。視需要移除任何受影響的版本。請注意,需要 Oracle 的延伸維護合約才能取得 JDK / JRE 6 Update 95 或更新版本。

另請參閱

http://www.nessus.org/u?705136d8

http://www.nessus.org/u?278f2590

http://www.nessus.org/u?adc8ef52

http://www.nessus.org/u?2fbcacca

http://www.nessus.org/u?de812f33

Plugin 詳細資訊

嚴重性: Critical

ID: 118227

檔案名稱: oracle_java_cpu_oct_2018_unix.nasl

版本: 1.8

類型: local

代理程式: unix

系列: Misc.

已發布: 2018/10/19

已更新: 2024/6/20

組態: 啟用徹底檢查

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: High

分數: 7.3

CVSS v2

風險因素: Medium

基本分數: 6.8

時間分數: 5

媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS 評分資料來源: CVE-2018-3183

CVSS v3

風險因素: Critical

基本分數: 9

時間分數: 7.8

媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/a:oracle:jdk, cpe:/a:oracle:jre

必要的 KB 項目: installed_sw/Java

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2018/10/16

弱點發布日期: 2018/10/16

參考資訊

CVE: CVE-2018-13785, CVE-2018-3136, CVE-2018-3139, CVE-2018-3149, CVE-2018-3150, CVE-2018-3157, CVE-2018-3169, CVE-2018-3180, CVE-2018-3183, CVE-2018-3209, CVE-2018-3211, CVE-2018-3214

BID: 105587, 105590, 105591, 105595, 105597, 105599, 105601, 105602, 105608, 105615, 105617, 105622