偵測

RHEL 3 / 4:java-1.4.2-ibm (RHSA-2007:0062)

high Nessus Plugin ID 63837

語系:

概要

遠端 Red Hat 主機缺少一個或多個安全性更新。

說明

現已提供適用於 Red Hat Enterprise Linux 3 和 4 Extras 的更新版 java-1.4.2-ibm 套件,可更正數個安全性問題。

Red Hat 安全性回應團隊已將此更新評等為具有重大安全性影響。

IBM 的 1.4.2 SR7 Java 版本包含 IBM Java 2 Runtime Environment 和 IBM Java 2 Software Development Kit。

已發現數個安全性問題:

在 Java Runtime Environment 中發現弱點。未受信任的 applet 可利用這些弱點從其他 applet 存取資料。(CVE-2006-6736、CVE-2006-6737)

在 Java Runtime Environment 中發現多個序列化瑕疵。
未受信任的 applet 或應用程式可利用這些瑕疵提升其權限。(CVE-2006-6745)

在 Java Runtime Environment 中發現多個緩衝區溢位弱點。未受信任的 applet 可利用這些瑕疵提升其權限,進而可能讀取及寫入本機檔案或執行本機應用程式。(CVE-2006-6731)

Daniel Bleichenbacher 在 PKCS #1 v1.5 簽章上發現攻擊行為。
使用指數為 3 的 RSA 金鑰時,攻擊者可偽造 PKCS #1 v1.5 簽章,而現行實作並不會針對簽章的 RSA 指數結果,檢查是否包含過量資料,進而不正確地讓該簽章通過驗證。(CVE-2006-4339)

所有 java-1.4.2-ibm 使用者皆應升級至這些更新版套件,其中包含可解決這些問題的 IBM 1.4.2 SR7 Java 版本。

解決方案

更新受影響的套件。

另請參閱

https://www.redhat.com/security/data/cve/CVE-2006-4339.html

https://www.redhat.com/security/data/cve/CVE-2006-6731.html

https://www.redhat.com/security/data/cve/CVE-2006-6736.html

https://www.redhat.com/security/data/cve/CVE-2006-6737.html

https://www.redhat.com/security/data/cve/CVE-2006-6745.html

http://www-128.ibm.com/developerworks/java/jdk/alerts/

http://rhn.redhat.com/errata/RHSA-2007-0062.html

Plugin 詳細資訊

嚴重性: High

ID: 63837

檔案名稱: redhat-RHSA-2007-0062.nasl

版本: 1.10

類型: local

代理程式: unix

已發布: 2013/1/24

已更新: 2021/1/14

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: High

基本分數: 9.3

時間分數: 6.9

媒介: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

弱點資訊

CPE: p-cpe:/a:redhat:enterprise_linux:java-1.4.2-ibm, p-cpe:/a:redhat:enterprise_linux:java-1.4.2-ibm-demo, p-cpe:/a:redhat:enterprise_linux:java-1.4.2-ibm-devel, p-cpe:/a:redhat:enterprise_linux:java-1.4.2-ibm-javacomm, p-cpe:/a:redhat:enterprise_linux:java-1.4.2-ibm-jdbc, p-cpe:/a:redhat:enterprise_linux:java-1.4.2-ibm-plugin, p-cpe:/a:redhat:enterprise_linux:java-1.4.2-ibm-src, cpe:/o:redhat:enterprise_linux:3, cpe:/o:redhat:enterprise_linux:4

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2007/2/7

弱點發布日期: 2006/9/5

參考資訊

CVE: CVE-2006-4339, CVE-2006-6731, CVE-2006-6736, CVE-2006-6737, CVE-2006-6745

CWE: 310

RHSA: 2007:0062