偵測

RHEL 5:java-1.6.0-bea (RHSA-2008:0245)

high Nessus Plugin ID 63852

語系:

概要

遠端 Red Hat 主機缺少一個或多個安全性更新。

說明

現已提供適用於 Red Hat Enterprise Linux 5 Supplementary 的更新版 java-1.6.0-bea 套件,可更正數個安全性問題。

Red Hat 安全性回應團隊已將此更新評等為具有中等安全性影響。

BEA WebLogic JRockit 1.6.0_03 JRE 和 SDK 中有 BEA WebLogic JRockit 虛擬機器 1.6.0_03,且已針對標準版 Java 6 Platform v1.6.0 進行認證。

即使「external general entities」內容設為「FALSE」,Java XML 剖析程式碼仍會處理外部實體參照。此弱點允許遠端攻擊者發動 XML 外部實體 (XXE) 攻擊,可能造成拒絕服務或取得受限資源的存取權。(CVE-2008-0628)

在 Java XSLT 處理類別中發現一個瑕疵。不受信任的應用程式或 applet 可造成拒絕服務,或以 JRE 使用者的權限執行任意程式碼。
(CVE-2008-1187)

在 JRE 影像剖析程式庫時發現一個瑕疵。不受信任的應用程式或 applet 可造成拒絕服務,亦可能會以 JRE 使用者的權限執行任意程式碼。(CVE-2008-1193)

在 JRE 色彩管理程式庫中發現一個瑕疵。不受信任的應用程式或 applet 可觸發拒絕服務 (JVM 當機)。
(CVE-2008-1194)

以上所列的 applet 相關弱點只能由 java-1.6.0-bea 透過呼叫「appletviewer」應用程式觸發。

建議 java-1.6.0-bea 使用者升級至這些更新版套件,其可解決這些問題。

解決方案

更新受影響的套件。

另請參閱

https://access.redhat.com/security/cve/cve-2008-0628

https://access.redhat.com/security/cve/cve-2008-1187

https://access.redhat.com/security/cve/cve-2008-1193

https://access.redhat.com/security/cve/cve-2008-1194

http://www.nessus.org/u?7cd88e8d

https://access.redhat.com/errata/RHSA-2008:0245

Plugin 詳細資訊

嚴重性: High

ID: 63852

檔案名稱: redhat-RHSA-2008-0245.nasl

版本: 1.16

類型: local

代理程式: unix

已發布: 2013/1/24

已更新: 2021/1/14

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: High

分數: 8.9

CVSS v2

風險因素: High

基本分數: 9.3

媒介: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

弱點資訊

CPE: p-cpe:/a:redhat:enterprise_linux:java-1.6.0-bea, p-cpe:/a:redhat:enterprise_linux:java-1.6.0-bea-demo, p-cpe:/a:redhat:enterprise_linux:java-1.6.0-bea-devel, p-cpe:/a:redhat:enterprise_linux:java-1.6.0-bea-jdbc, p-cpe:/a:redhat:enterprise_linux:java-1.6.0-bea-missioncontrol, p-cpe:/a:redhat:enterprise_linux:java-1.6.0-bea-src, cpe:/o:redhat:enterprise_linux:5, cpe:/o:redhat:enterprise_linux:5.1

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2008/4/28

弱點發布日期: 2008/2/6

參考資訊

CVE: CVE-2008-0628, CVE-2008-1187, CVE-2008-1193, CVE-2008-1194

CWE: 264

RHSA: 2008:0245