RHEL 5 : java-1.6.0-ibm (RHSA-2008:0267)

high Nessus Plugin ID 63854

概要

遠端 Red Hat 主機缺少一個或多個安全性更新。

說明

現已提供適用於 Red Hat Enterprise Linux 5 Supplementary 的更新版 java-1.6.0-ibm 套件,可修正數個安全性問題。

Red Hat 安全性回應團隊已將此更新評等為具有重大安全性影響。

IBM 的 1.6.0 Java 版本納入了 IBM Java 2 Runtime Environment 和 IBM Java 2 軟體開發套件。

在 Java XSLT 處理類別中發現一個瑕疵。不受信任的應用程式或 applet 可造成拒絕服務,或以 JRE 使用者的權限執行任意程式碼。
(CVE-2008-1187)

在 Java Web Start (JWS) 中發現數個緩衝區溢位瑕疵。未受信任的 JNLP 應用程式可存取本機檔案,或執行可供 JRE 使用者存取的本機應用程式。(CVE-2008-1188、CVE-2008-1189、CVE-2008-1190、CVE-2008-1191、CVE-2008-1196)

在 Java 外掛程式中發現一個瑕疵。遠端攻擊者可使用執行 JRE 之使用者的權限執行任意程式碼,從而繞過同源原則。(CVE-2008-1192)

在 JRE 影像剖析程式庫時發現一個瑕疵。不受信任的應用程式或 applet 可造成拒絕服務,亦可能以 JRE 使用者的權限執行任意程式碼。(CVE-2008-1193)

在 JRE 色彩管理程式庫中發現一個瑕疵。不受信任的應用程式或 applet 可觸發拒絕服務 (JVM 當機)。
(CVE-2008-1194)

JRE 允許不受信任的 JavaScript 程式碼透過使用 Java API 來建立本機網路連線。遠端攻擊者可利用這些瑕疵存取本機網路服務。(CVE-2008-1195)

建議所有 java-1.6.0-ibm 使用者皆升級至這些更新版套件,其中包含可解決這些問題的 IBM 1.6.0 SR1 Java 版本。

解決方案

更新受影響的套件。

另請參閱

https://access.redhat.com/security/cve/cve-2008-1187

https://access.redhat.com/security/cve/cve-2008-1188

https://access.redhat.com/security/cve/cve-2008-1189

https://access.redhat.com/security/cve/cve-2008-1190

https://access.redhat.com/security/cve/cve-2008-1191

https://access.redhat.com/security/cve/cve-2008-1192

https://access.redhat.com/security/cve/cve-2008-1193

https://access.redhat.com/security/cve/cve-2008-1194

https://access.redhat.com/security/cve/cve-2008-1195

https://access.redhat.com/security/cve/cve-2008-1196

https://www.ibm.com/us-en/?ar=1

https://access.redhat.com/errata/RHSA-2008:0267

Plugin 詳細資訊

嚴重性: High

ID: 63854

檔案名稱: redhat-RHSA-2008-0267.nasl

版本: 1.18

類型: local

代理程式: unix

已發布: 2013/1/24

已更新: 2021/1/14

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: High

分數: 8.9

CVSS v2

風險因素: High

基本分數: 9.3

時間分數: 8.1

媒介: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

弱點資訊

CPE: p-cpe:/a:redhat:enterprise_linux:java-1.6.0-ibm, p-cpe:/a:redhat:enterprise_linux:java-1.6.0-ibm-accessibility, p-cpe:/a:redhat:enterprise_linux:java-1.6.0-ibm-demo, p-cpe:/a:redhat:enterprise_linux:java-1.6.0-ibm-devel, p-cpe:/a:redhat:enterprise_linux:java-1.6.0-ibm-javacomm, p-cpe:/a:redhat:enterprise_linux:java-1.6.0-ibm-jdbc, p-cpe:/a:redhat:enterprise_linux:java-1.6.0-ibm-plugin, p-cpe:/a:redhat:enterprise_linux:java-1.6.0-ibm-src, cpe:/o:redhat:enterprise_linux:5, cpe:/o:redhat:enterprise_linux:5.1

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2008/5/19

弱點發布日期: 2008/3/6

可惡意利用

CANVAS (D2ExploitPack)

參考資訊

CVE: CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1192, CVE-2008-1193, CVE-2008-1194, CVE-2008-1195, CVE-2008-1196

BID: 28083

CWE: 119, 264

RHSA: 2008:0267