偵測

MiracleLinux 4 java-1.7.0-openjdk-1.7.0.9-2.3.4.1.AXS4 (AXSA:2013-76:01)

critical Nessus Plugin ID 290113

語言:

概要

遠端 MiracleLinux 主機缺少一個或多個安全性更新。

說明

遠端 MiracleLinux 4 主機已安裝一個受到 AXSA:2013-76:01 公告中提及的多個弱點影響的套件。

 OpenJDK 運行時間環境。
 此版本修正的安全性問題
 CVE-2012-3174 在 Update 11 之前的 Oracle Java 7 中的不明弱點允許遠端攻擊者透過未知向量影響機密性、完整性和可用性此弱點與 CVE-2013-0422不同。注意有些人已將 CVE-2012-3174 對應至一個涉及反射 API 遞回使用的問題但該問題已涵蓋在 CVE-2013-0422中。此識別碼適用於截至 20130114 其詳細資料尚未公開的其他弱點。
 CVE-2013-0422 在 Update 11 之前的 Oracle Java 7 中存在多個弱點允許遠端攻擊者透過 (1) 使用 JmxMBeanServer 類別中的公用 getMBeanInstantiator 方法執行任意程式碼藉此取得私人 MBeanInstantiator 物件的參照然後使用 findClass 方法擷取任意類別參照以及 (2) 以遞回方式使用反射 API 時繞過 java.lang.invoke.MethodHandles.Lookup.checkSecurityManager 方法的安全性檢查這是因為 sun.reflect.Reflection.getCallerClass 方法無法略過框架所致與新反射 API 相關於 2013 年 1 月在環境中遭惡意利用的 Blackhole 和nuclear Pack 即為一例以及一個不同於 CVE-2012-4681 和 CVE-2012-3174的弱點。注意某些方已將遞回反射 API 問題對應至 CVE-2012-3174但 CVE-2012-3174 是針對不同的弱點其詳細資料截至 20130114 尚未公開 CVE-2013-0422 。涵蓋 JMX/MBean 和反射 API 問題。注意 原本報告 Java 6 也有弱點但報告者已撤回此宣告並指出 Java 6 不會遭到惡意利用因為呼叫相關程式碼的方式並未繞過安全性檢查。注意截至 20130114有可靠的第三方聲稱未在 Oracle Java 7 Update 11 中修正 findClass/MBeanInstantiator 向量。如果仍有弱點發生則可能會針對未修正的問題建立獨立的 CVE 識別碼。

Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的 java-1.7.0-openjdk 套件。

另請參閱

https://tsn.miraclelinux.com/en/node/3703

Plugin 詳細資訊

嚴重性: Critical

ID: 290113

檔案名稱: miracle_linux_AXSA-2013-76.nasl

版本: 1.2

類型: local

已發布: 2026/1/16

已更新: 2026/1/17

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Critical

分數: 9.8

Vendor

Vendor Severity: High

CVSS v2

風險因素: Critical

基本分數: 10

時間性分數: 8.7

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2013-0422

CVSS v3

風險因素: Critical

基本分數: 9.8

時間性分數: 9.4

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:H/RL:O/RC:C

弱點資訊

CPE: cpe:/o:miracle:linux:4, p-cpe:/a:miracle:linux:java-1.7.0-openjdk

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2013/2/8

弱點發布日期: 2013/1/10

CISA 已知遭惡意利用弱點到期日: 2022/6/15

可惡意利用

CANVAS (CANVAS)

Core Impact

Metasploit (Java Applet JMX Remote Code Execution)

參考資訊

CVE: CVE-2012-3174, CVE-2013-0422