偵測

RHEL 4:java-1.4.2-bea (RHSA-2007:1086)

high Nessus Plugin ID 63846

語系:

概要

遠端 Red Hat 主機缺少一個或多個安全性更新。

說明

現已提供適用於 Red Hat Enterprise Linux 4 Extras 的更新版 java-1.4.2-bea 套件,可更正數個安全性問題並新增多個增強功能。

Red Hat 安全性回應團隊已將此更新評等為具有中等安全性影響。

BEA WebLogic JRockit 1.4.2_15 JRE 和 SDK 包含 BEA WebLogic JRockit 虛擬機器 1.4.2_15,且已針對標準版 Java 2 Platform v1.4.2 進行認證。

在 Java Runtime Environment 影像處理程式碼中發現一個緩衝區溢位問題。若攻擊者能夠造成伺服器應用程式處理特製的影像檔,便可能會以執行 Java 虛擬機器的使用者身分執行任意程式碼。
(CVE-2007-2788、CVE-2007-2789、CVE-2007-3004)

在 Java Applet Viewer 中發現一個拒絕服務瑕疵。未受信任的 Java applet 可讓 Java 虛擬機器變得沒有回應。請注意,BEA WebLogic JRockit 1.4.2_15 並未隨附瀏覽器外掛程式,所以該問題只會在使用者執行 'appletviewer' 應用程式時遭到觸發。
(CVE-2007-3005)

在 JSSE 元件處理 SSL/TLS 交握要求的方式中發現一個拒絕服務瑕疵。遠端攻擊者若能連線至啟用 JSSE 的服務,便可傳送特製的交握使 Java Runtime Environment 不再回應後續的要求。(CVE-2007-3698)

在 Java Runtime Environment 處理字型資料的方式中發現一個瑕疵。透過 'appletviewer' 應用程式檢視的 applet 可提升其權限,進而可使用與執行 'appletviewer' 應用程式之使用者相同的權限執行動作。另外,還可能會使處理來自第三方且未受信任之字型資訊的伺服器應用程式損毀。
(CVE-2007-4381)

所有 java-1.4.2-bea 使用者皆應升級至這些更新版套件,其中包含可解決這些問題的 BEA WebLogic JRockit 1.4.2_15 版本。

解決方案

更新受影響的 java-1.4.2-bea、java-1.4.2-bea-devel 和/或 java-1.4.2-bea-jdbc 套件。

另請參閱

https://www.redhat.com/security/data/cve/CVE-2007-2788.html

https://www.redhat.com/security/data/cve/CVE-2007-2789.html

https://www.redhat.com/security/data/cve/CVE-2007-3698.html

https://www.redhat.com/security/data/cve/CVE-2007-4381.html

http://dev2dev.bea.com/pub/advisory/249

http://dev2dev.bea.com/pub/advisory/248

http://rhn.redhat.com/errata/RHSA-2007-1086.html

Plugin 詳細資訊

嚴重性: High

ID: 63846

檔案名稱: redhat-RHSA-2007-1086.nasl

版本: 1.9

類型: local

代理程式: unix

已發布: 2013/1/24

已更新: 2021/1/14

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

CVSS v2

風險因素: High

基本分數: 9.3

媒介: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

弱點資訊

CPE: p-cpe:/a:redhat:enterprise_linux:java-1.4.2-bea, p-cpe:/a:redhat:enterprise_linux:java-1.4.2-bea-devel, p-cpe:/a:redhat:enterprise_linux:java-1.4.2-bea-jdbc, cpe:/o:redhat:enterprise_linux:4, cpe:/o:redhat:enterprise_linux:4.6

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

修補程式發佈日期: 2007/12/12

參考資訊

CVE: CVE-2007-2788, CVE-2007-2789, CVE-2007-3698, CVE-2007-4381

CWE: 189, 399

RHSA: 2007:1086