偵測

Plugin

RHEL 5 / 6：java-1.5.0-ibm (RHSA-2015:0136)

critical Nessus Plugin ID 81204

語系：

概要

遠端 Red Hat 主機缺少一個或多個 java-1.5.0-ibm 安全性更新。

說明

遠端 Redhat Enterprise Linux 5/6 主機上安裝的套件受到 RHSA-2015:0136 公告中提及的多個弱點影響。

- ICU：字型剖析 OOB 讀取 (OpenJDK 2D，8055489) (CVE-2014-6585)

- ICU：字型剖析 OOB 讀取 (OpenJDK 2D，8056276) (CVE-2014-6591)

- OpenJDK：SSL/TLS 交握期間未正確追蹤 ChangeCipherSpec (JSSE，8057555) (CVE-2014-6593)

- IBM JDK：已修正 2015 年 2 月更新中的不明完整 Java Sandbox 繞過問題 (CVE-2014-8891)

- IBM JDK：已修正 2015 年 2 月更新中的不明部分 Java 沙箱繞過問題 (CVE-2014-8892)

- OpenJDK：記憶體回收行程中存在虛設參照處理問題 (Hotspot，8047125) (CVE-2015-0395)

- OpenJDK：透過檔案選擇器造成目錄資訊洩漏 (Swing，8055304) (CVE-2015-0407)

- OpenJDK：RMI 傳輸過程中使用的內容類別載入器不正確 (RMI，8055309) (CVE-2015-0408)

- OpenJDK：DER 解碼器無限迴圈 (Security，8059485) (CVE-2015-0410)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

根據 RHSA-2015:0136 中的指引更新 RHEL java-1.5.0-ibm 套件。

另請參閱

http://www.nessus.org/u?7dde4182

https://www.ibm.com/developerworks/java/jdk/alerts/

https://access.redhat.com/errata/RHSA-2015:0136

https://access.redhat.com/security/updates/classification/#important

https://bugzilla.redhat.com/show_bug.cgi?id=1183023

https://bugzilla.redhat.com/show_bug.cgi?id=1183031

https://bugzilla.redhat.com/show_bug.cgi?id=1183043

https://bugzilla.redhat.com/show_bug.cgi?id=1183044

https://bugzilla.redhat.com/show_bug.cgi?id=1183049

https://bugzilla.redhat.com/show_bug.cgi?id=1183645

https://bugzilla.redhat.com/show_bug.cgi?id=1183646

https://bugzilla.redhat.com/show_bug.cgi?id=1189142

https://bugzilla.redhat.com/show_bug.cgi?id=1189145

Plugin 詳細資訊

嚴重性: Critical

ID: 81204

檔案名稱: redhat-RHSA-2015-0136.nasl

版本: 1.23

類型: local

代理程式: unix

系列: Red Hat Local Security Checks

已發布: 2015/2/6

已更新: 2024/4/24

支援的感應器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.5

CVSS v2

風險因素: Critical

基本分數: 10

時間分數: 7.8

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2015-0408

CVSS v3

風險因素: Critical

基本分數: 9.8

時間分數: 8.8

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:P/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:redhat:enterprise_linux:java-1.5.0-ibm, p-cpe:/a:redhat:enterprise_linux:java-1.5.0-ibm-accessibility, p-cpe:/a:redhat:enterprise_linux:java-1.5.0-ibm-demo, p-cpe:/a:redhat:enterprise_linux:java-1.5.0-ibm-devel, p-cpe:/a:redhat:enterprise_linux:java-1.5.0-ibm-javacomm, p-cpe:/a:redhat:enterprise_linux:java-1.5.0-ibm-jdbc, p-cpe:/a:redhat:enterprise_linux:java-1.5.0-ibm-plugin, p-cpe:/a:redhat:enterprise_linux:java-1.5.0-ibm-src, cpe:/o:redhat:enterprise_linux:5, cpe:/o:redhat:enterprise_linux:6

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2015/2/5

弱點發布日期: 2015/1/21

參考資訊

CVE: CVE-2014-6585, CVE-2014-6591, CVE-2014-6593, CVE-2014-8891, CVE-2014-8892, CVE-2015-0395, CVE-2015-0407, CVE-2015-0408, CVE-2015-0410

BID: 72140, 72162, 72165, 72169, 72173, 72175, 73258, 73259

CWE: 125, 835

RHSA: 2015:0136