IBM Java 7.1 < 7.1.5.22/8.0 < 8.0.8.25 多個弱點
medium Nessus Plugin ID 195219
語系:
概要
IBM Java 受到多個弱點影響。說明
遠端主機上安裝的 IBM Java 版本為 7.1 < 7.1.5.22 / 8.0 < 8.0.8.25。因此,其會受到 2024 年 5 月 IBM 安全性更新公告中提及的多個弱點影響。- IBM SDK、Java Technology Edition 的 Object Request Broker (ORB) (7.1.0.0 至 7.1.5.21 和 8.0.0.0 至 8.0.8.21 版本) 在某些情況下容易遭受拒絕服務攻擊,因強制執行 JEP 290 MaxRef 和 MaxDepth 還原序列化篩選器不當所致。IBM X-Force ID:260578。
(CVE-2023-38264)
- 在 0.44.0 之前和 0.13.0 之後的 Eclipse OpenJ9 發行版本中,執行 JVM 選項
Xgc:concurrentScavenge (在可為受保護的儲存提供硬體和軟體支援的 IBM Z 平台上,為 System.arrayCopy 產生的序列 [1]) 時,若 Concurrent Scavenge Garbage Collection 週期處於作用中且 arraycopy 的來源和目的地記憶體區域重疊,則允許在執行 arraycopy 時存取長度值不正確的緩衝區。這會允許讀取和寫入超出陣列範圍結尾的位址。(CVE-2024-3933)
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
按照 2024 年 5 月 IBM 安全性更新公告套用適當的修補程式。另請參閱
http://www-01.ibm.com/support/docview.wss?uid=swg1IJ51327
Plugin 詳細資訊
嚴重性: Medium
ID: 195219
檔案名稱: ibm_java_2024_05_01.nasl
版本: 1.2
類型: local
代理程式: windows, macosx, unix
系列: Misc.
已發布: 2024/5/9
已更新: 2024/5/30
組態: 啟用徹底檢查
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.0
CVSS v2
風險因素: Medium
基本分數: 5.4
時間分數: 4
媒介: CVSS2#AV:N/AC:H/Au:N/C:C/I:N/A:N
CVSS 評分資料來源: CVE-2023-38264
CVSS v3
風險因素: Medium
基本分數: 5.3
時間分數: 4.6
媒介: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:H/A:L
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
CVSS 評分資料來源: CVE-2024-3933
弱點資訊
CPE: cpe:/a:ibm:java
必要的 KB 項目: installed_sw/Java
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2024/5/1
弱點發布日期: 2024/5/1
參考資訊
CVE: CVE-2023-38264, CVE-2024-3933