RHEL 5 : java-1.6.0-ibm (RHSA-2008:0267)
high Nessus Plugin ID 63854
語系:
概要
遠端 Red Hat 主機缺少一個或多個安全性更新。說明
現已提供適用於 Red Hat Enterprise Linux 5 Supplementary 的更新版 java-1.6.0-ibm 套件,可修正數個安全性問題。Red Hat 安全性回應團隊已將此更新評等為具有重大安全性影響。
IBM 的 1.6.0 Java 版本納入了 IBM Java 2 Runtime Environment 和 IBM Java 2 軟體開發套件。
在 Java XSLT 處理類別中發現一個瑕疵。不受信任的應用程式或 applet 可造成拒絕服務,或以 JRE 使用者的權限執行任意程式碼。
(CVE-2008-1187)
在 Java Web Start (JWS) 中發現數個緩衝區溢位瑕疵。未受信任的 JNLP 應用程式可存取本機檔案,或執行可供 JRE 使用者存取的本機應用程式。(CVE-2008-1188、CVE-2008-1189、CVE-2008-1190、CVE-2008-1191、CVE-2008-1196)
在 Java 外掛程式中發現一個瑕疵。遠端攻擊者可使用執行 JRE 之使用者的權限執行任意程式碼,從而繞過同源原則。(CVE-2008-1192)
在 JRE 影像剖析程式庫時發現一個瑕疵。不受信任的應用程式或 applet 可造成拒絕服務,亦可能以 JRE 使用者的權限執行任意程式碼。(CVE-2008-1193)
在 JRE 色彩管理程式庫中發現一個瑕疵。不受信任的應用程式或 applet 可觸發拒絕服務 (JVM 當機)。
(CVE-2008-1194)
JRE 允許不受信任的 JavaScript 程式碼透過使用 Java API 來建立本機網路連線。遠端攻擊者可利用這些瑕疵存取本機網路服務。(CVE-2008-1195)
建議所有 java-1.6.0-ibm 使用者皆升級至這些更新版套件,其中包含可解決這些問題的 IBM 1.6.0 SR1 Java 版本。
解決方案
更新受影響的套件。另請參閱
https://access.redhat.com/security/cve/cve-2008-1187
https://access.redhat.com/security/cve/cve-2008-1188
https://access.redhat.com/security/cve/cve-2008-1189
https://access.redhat.com/security/cve/cve-2008-1190
https://access.redhat.com/security/cve/cve-2008-1191
https://access.redhat.com/security/cve/cve-2008-1192
https://access.redhat.com/security/cve/cve-2008-1193
https://access.redhat.com/security/cve/cve-2008-1194
https://access.redhat.com/security/cve/cve-2008-1195
https://access.redhat.com/security/cve/cve-2008-1196
Plugin 詳細資訊
嚴重性: High
ID: 63854
檔案名稱: redhat-RHSA-2008-0267.nasl
版本: 1.18
類型: local
代理程式: unix
已發布: 2013/1/24
已更新: 2021/1/14
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
風險資訊
VPR
風險因素: High
分數: 8.9
CVSS v2
風險因素: High
基本分數: 9.3
時間分數: 8.1
媒介: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
弱點資訊
CPE: p-cpe:/a:redhat:enterprise_linux:java-1.6.0-ibm, p-cpe:/a:redhat:enterprise_linux:java-1.6.0-ibm-accessibility, p-cpe:/a:redhat:enterprise_linux:java-1.6.0-ibm-demo, p-cpe:/a:redhat:enterprise_linux:java-1.6.0-ibm-devel, p-cpe:/a:redhat:enterprise_linux:java-1.6.0-ibm-javacomm, p-cpe:/a:redhat:enterprise_linux:java-1.6.0-ibm-jdbc, p-cpe:/a:redhat:enterprise_linux:java-1.6.0-ibm-plugin, p-cpe:/a:redhat:enterprise_linux:java-1.6.0-ibm-src, cpe:/o:redhat:enterprise_linux:5, cpe:/o:redhat:enterprise_linux:5.1
必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2008/5/19
弱點發布日期: 2008/3/6
可惡意利用
CANVAS (D2ExploitPack)
參考資訊
CVE: CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1192, CVE-2008-1193, CVE-2008-1194, CVE-2008-1195, CVE-2008-1196
BID: 28083