Oracle GlassFish Server 多個弱點 (2014 年 7 月 CPU)

high Nessus Plugin ID 76591

概要

遠端 Web 伺服器受到多個弱點影響。

說明

遠端主機上執行的 GlassFish Server 版本受到以下元件中多個弱點影響:

- 網路安全性服務 (NSS) 實作不會確保資料結構經過初始化,這可導致拒絕服務或洩漏敏感資訊。(CVE-2013-1739)

- 網路安全性服務 (NSS) 實作不會正常處理 TLS False Start 功能,並且可導致攔截式攻擊。
(CVE-2013-1740)

- Network Security Services (NSS) 包含一個整數溢位瑕疵,其允許遠端攻擊者造成拒絕服務。(CVE-2013-1741)

- 在檔案「ssl/ssl3con.c」的函式「Null_Cipher」中,存在一個與處理無效交握封包相關的錯誤,可導致任意程式碼執行。(CVE-2013-5605)

- 檔案「lib/certhigh/certvfy.c」的函式「CERT_VerifyCert」中存在一個錯誤,可導致系統將無效的憑證視為有效。
(CVE-2013-5606)

- Oracle Mojarra 包含一個跨網站指令碼弱點,這是因為不當清理使用者提供的輸入所導致。這會導致攻擊者在受影響網站的環境中執行任意程式碼。(CVE-2013-5855)

- 網路安全性服務 (NSS) 的 libssl 中含有工作階段票證處理期間發生的爭用情形。遠端攻擊者可惡意利用此瑕疵,進而引發拒絕服務。(CVE-2014-1490)

- 網路安全性服務 (NSS) 未正確限制 Diffie-Hellman 金鑰交換中的公共值,導致遠端攻擊者繞過密碼編譯保護機制。(CVE-2014-1491)

- Network Security (NSS) 程式庫中存在問題,這是因不當處理萬用字元憑證的 IDNA 網域前置詞所致。此問題允許攻擊者發動攔截式攻擊。(CVE-2014-1492)

解決方案

升級至 GlassFish Server 2.1.1.24 / 3.0.1.9 / 3.1.2.9 或更新版本。

另請參閱

http://www.nessus.org/u?77697fb1

Plugin 詳細資訊

嚴重性: High

ID: 76591

檔案名稱: glassfish_cpu_jul_2014.nasl

版本: 1.14

類型: remote

系列: Web Servers

已發布: 2014/7/18

已更新: 2018/11/15

支援的感應器: Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.8

CVSS v2

風險因素: High

基本分數: 7.5

時間分數: 5.5

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

弱點資訊

CPE: cpe:/a:oracle:glassfish_server

必要的 KB 項目: www/glassfish

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2014/7/15

弱點發布日期: 2014/7/15

參考資訊

CVE: CVE-2013-1739, CVE-2013-1740, CVE-2013-1741, CVE-2013-5605, CVE-2013-5606, CVE-2013-5855, CVE-2014-1490, CVE-2014-1491, CVE-2014-1492

BID: 62966, 63736, 63737, 63738, 64944, 65332, 65335, 65600, 66356

CWE: 20, 442, 629, 711, 712, 722, 725, 74, 750, 751, 79, 800, 801, 809, 811, 864, 900, 928, 931, 990