偵測

Scientific Linux 安全性更新:SL4.x、SL5.x i386/x86_64 上的 java (jdk 1.6.0)

high Nessus Plugin ID 60691

語系:

概要

遠端 Scientific Linux 主機缺少一個或多個安全性更新。

說明

CVE-2009-2409 淘汰 SSL 憑證驗證中的 MD2 (Kaminsky)

CVE-2009-3873 OpenJDK JPEG Image Writer 量化問題 (6862968)

CVE-2009-3875 OpenJDK MessageDigest.isEqual 引入定時攻擊弱點 (6863503)

CVE-2009-3876 OpenJDK ASN.1/DER 輸入資料流剖析器拒絕服務 (6864911) CVE-2009-3877

CVE-2009-3869 OpenJDK JRE AWT setDifflCM 堆疊溢位 (6872357)

CVE-2009-3871 OpenJDK JRE AWT setBytePixels 堆積溢位 (6872358)

CVE-2009-3874 OpenJDK ImageI/O JPEG 堆積溢位 (6874643)

CVE-2009-3728 OpenJDK ICC_Profile 檔案存在性偵測資訊洩漏 (6631533)

CVE-2009-3881 OpenJDK 重新啟動的類別載入器仍可擁有子項目 (6636650)

CVE-2009-3882 CVE-2009-3883 OpenJDK 易變變數中的資訊洩漏 (6657026、6657138)

CVE-2009-3880 OpenJDK UI 記錄資訊洩漏 (6664512)

CVE-2009-3879 OpenJDK GraphicsConfiguration 資訊洩漏 (6822057)

CVE-2009-3884 OpenJDK 區域資訊檔案存在性資訊洩漏 (6824265)

CVE-2009-3729 JRE TrueType 字型剖析損毀 (6815780)

CVE-2009-3872 JRE JPEG JFIF 解碼器問題 (6862969)

CVE-2009-3886 JRE REGRESSION: 無法順利執行含有已簽署 Jar 檔案的 JNLP 應用程式和 applet (6870531)

CVE-2009-3865 java-1.6.0-sun:JRE Deployment Toolkit 中的 ACE (6869752)

CVE-2009-3866 java-1.6.0-sun:Java Web Start Installer 中的權限提升 (6872824)

CVE-2009-3867 java-1.5.0-sun、java-1.6.0-sun:透過長 file: URL 引數發生的堆疊型緩衝區溢位 (6854303)

CVE-2009-3868 java-1.5.0-sun、java-1.6.0-sun:因不當剖析色彩設定檔,透過特製影像檔發生的權限提升 (6862970)

此更新可修正 Sun Java 6 Runtime Environment 和 Sun Java 6 Software Development Kit 中的數個弱點。這些弱點在 Sun Microsystems 的「Java SE 安全性更新進階通知」頁面中有所摘述,列於 <參照>一節中。(CVE-2009-2409、CVE-2009-3728、CVE-2009-3729、

CVE-2009-3865、CVE-2009-3866、CVE-2009-3867、CVE-2009-3868、

CVE-2009-3869、CVE-2009-3871、CVE-2009-3872、CVE-2009-3873、

CVE-2009-3874、CVE-2009-3875、CVE-2009-3876、CVE-2009-3877、

CVE-2009-3879、CVE-2009-3880、CVE-2009-3881、CVE-2009-3882、

(CVE-2009-3883、CVE-2009-3884、CVE-2009-3886)

所有執行中的 Sun Java 執行個體都必須重新啟動,更新才會生效。

解決方案

更新受影響的 java-1.6.0-sun-compat 和/或 jdk 套件。

另請參閱

http://www.nessus.org/u?6a7a8b8a

Plugin 詳細資訊

嚴重性: High

ID: 60691

檔案名稱: sl_20091109_java__jdk_1_6_0__on_SL4_x.nasl

版本: 1.9

類型: local

代理程式: unix

已發布: 2012/8/1

已更新: 2021/1/14

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Critical

分數: 9.8

CVSS v2

風險因素: High

基本分數: 9.3

媒介: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

弱點資訊

CPE: x-cpe:/o:fermilab:scientific_linux

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2009/11/9

弱點發布日期: 2009/7/30

可惡意利用

CANVAS (CANVAS)

Core Impact

Metasploit (Sun Java JRE AWT setDiffICM Buffer Overflow)

參考資訊

CVE: CVE-2009-2409, CVE-2009-3728, CVE-2009-3729, CVE-2009-3865, CVE-2009-3866, CVE-2009-3867, CVE-2009-3868, CVE-2009-3869, CVE-2009-3871, CVE-2009-3872, CVE-2009-3873, CVE-2009-3874, CVE-2009-3875, CVE-2009-3876, CVE-2009-3877, CVE-2009-3879, CVE-2009-3880, CVE-2009-3881, CVE-2009-3882, CVE-2009-3883, CVE-2009-3884, CVE-2009-3886

CWE: 119, 189, 200, 22, 264, 310, 399, 94