Oracle GlassFish Server 多個弱點 (2014 年 7 月 CPU)

high Nessus Plugin ID 76591

語系：

Synopsis

遠端 Web 伺服器受到多個弱點影響。

描述

遠端主機上執行的 GlassFish Server 版本受到以下元件中多個弱點影響：

- 網路安全性服務 (NSS) 實作不會確保資料結構經過初始化，這可導致拒絕服務或洩漏敏感資訊。(CVE-2013-1739)

- 網路安全性服務 (NSS) 實作不會正常處理 TLS False Start 功能，並且可導致攔截式攻擊。
(CVE-2013-1740)

- Network Security Services (NSS) 包含一個整數溢位瑕疵，其允許遠端攻擊者造成拒絕服務。(CVE-2013-1741)

- 在檔案「ssl/ssl3con.c」的函式「Null_Cipher」中，存在一個與處理無效交握封包相關的錯誤，可導致任意程式碼執行。(CVE-2013-5605)

- 檔案「lib/certhigh/certvfy.c」的函式「CERT_VerifyCert」中存在一個錯誤，可導致系統將無效的憑證視為有效。
(CVE-2013-5606)

- Oracle Mojarra 包含一個跨網站指令碼弱點，這是因為不當清理使用者提供的輸入所導致。這會導致攻擊者在受影響網站的環境中執行任意程式碼。(CVE-2013-5855)

- 網路安全性服務 (NSS) 的 libssl 中含有工作階段票證處理期間發生的爭用情形。遠端攻擊者可惡意利用此瑕疵，進而引發拒絕服務。(CVE-2014-1490)

- 網路安全性服務 (NSS) 未正確限制 Diffie-Hellman 金鑰交換中的公共值，導致遠端攻擊者繞過密碼編譯保護機制。(CVE-2014-1491)

- Network Security (NSS) 程式庫中存在問題，這是因不當處理萬用字元憑證的 IDNA 網域前置詞所致。此問題允許攻擊者發動攔截式攻擊。(CVE-2014-1492)