Security Lab

Множественные уязвимости в Oracle Java

Дата публикации:24.06.2013
Дата изменения:06.09.2013
Всего просмотров:3675
Опасность:
Высокая
Наличие исправления: Да
Количество уязвимостей:40
CVSSv2 рейтинг: 9.3 (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
9.3 (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
9.3 (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
9.3 (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
9.3 (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
9.3 (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
9.3 (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
9.3 (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
9.3 (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
9.3 (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
9.3 (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
9.3 (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
9.3 (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
9.3 (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
7.1 (AV:N/AC:M/Au:N/C:N/I:N/A:C/E:U/RL:O/RC:C)
9.3 (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
9.3 (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
9.3 (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
6.9 (AV:L/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
5.8 (AV:N/AC:M/Au:N/C:P/I:N/A:P/E:U/RL:O/RC:C)
5.8 (AV:N/AC:M/Au:N/C:P/I:P/A:N/E:U/RL:O/RC:C)
5.8 (AV:N/AC:M/Au:N/C:P/I:P/A:N/E:U/RL:O/RC:C)
7.1 (AV:N/AC:M/Au:N/C:N/I:N/A:C/E:U/RL:O/RC:C)
4.3 (AV:N/AC:M/Au:N/C:P/I:N/A:N/E:U/RL:O/RC:C)
4.3 (AV:N/AC:M/Au:N/C:P/I:N/A:N/E:U/RL:O/RC:C)
5.8 (AV:N/AC:M/Au:N/C:P/I:P/A:N/E:U/RL:O/RC:C)
5.8 (AV:N/AC:M/Au:N/C:P/I:P/A:N/E:U/RL:O/RC:C)
5.8 (AV:N/AC:M/Au:N/C:P/I:P/A:N/E:U/RL:O/RC:C)
5.8 (AV:N/AC:M/Au:N/C:P/I:P/A:N/E:U/RL:O/RC:C)
4.3 (AV:N/AC:M/Au:N/C:P/I:N/A:N/E:U/RL:O/RC:C)
4.3 (AV:N/AC:M/Au:N/C:P/I:N/A:N/E:U/RL:O/RC:C)
4.3 (AV:N/AC:M/Au:N/C:P/I:N/A:N/E:U/RL:O/RC:C)
4.3 (AV:N/AC:M/Au:N/C:P/I:N/A:N/E:U/RL:O/RC:C)
7.1 (AV:N/AC:M/Au:N/C:N/I:N/A:C/E:U/RL:O/RC:C)
4.3 (AV:N/AC:M/Au:N/C:P/I:N/A:N/E:U/RL:O/RC:C)
4.3 (AV:N/AC:M/Au:N/C:P/I:N/A:N/E:U/RL:O/RC:C)
4.3 (AV:N/AC:M/Au:N/C:P/I:N/A:N/E:U/RL:O/RC:C)
4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C)
9.3 (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
3.3 (AV:L/AC:M/Au:N/C:P/I:P/A:N/E:U/RL:O/RC:C)
CVE ID: CVE-2013-1500
CVE-2013-1571
CVE-2013-2400
CVE-2013-2407
CVE-2013-2412
CVE-2013-2437
CVE-2013-2442
CVE-2013-2443
CVE-2013-2444
CVE-2013-2445
CVE-2013-2446
CVE-2013-2447
CVE-2013-2448
CVE-2013-2449
CVE-2013-2450
CVE-2013-2451
CVE-2013-2452
CVE-2013-2453
CVE-2013-2454
CVE-2013-2455
CVE-2013-2456
CVE-2013-2457
CVE-2013-2458
CVE-2013-2459
CVE-2013-2460
CVE-2013-2461
CVE-2013-2462
CVE-2013-2463
CVE-2013-2464
CVE-2013-2465
CVE-2013-2466
CVE-2013-2467
CVE-2013-2468
CVE-2013-2469
CVE-2013-2470
CVE-2013-2471
CVE-2013-2472
CVE-2013-2473
CVE-2013-3743
CVE-2013-3744
Вектор эксплуатации: Удаленная
Воздействие: Отказ в обслуживании
Раскрытие важных данных
Неавторизованное изменение данных
Повышение привилегий
Спуфинг атака
Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Oracle Java JDK 1.5.x / 5.x
Oracle Java JDK 1.7.x / 7.x
Oracle Java JRE 1.7.x / 7.x
Sun Java JDK 1.6.x / 6.x
Sun Java JRE 1.5.x / 5.x
Sun Java JRE 1.6.x / 6.x
Уязвимые версии:
Oracle Java JDK 7 Update 21 и более ранние версии
Oracle Java JRE 7 Update 21 и более ранние версии
Oracle Java JDK 6 Update 45 и более ранние версии
Oracle Java JRE 6 Update 45 и более ранние версии
Oracle Java JDK 5 Update 45 и более ранние версии
Oracle Java JRE 5 Update 45 и более ранние версии

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.

1. Уязвимость существует из-за неизвестной ошибки в компоненте клиента 2D. Удаленный пользователь может с помощью недоверенных приложений Java Web Start скомпрометировать целевую систему.

2. Уязвимость существует из-за неизвестной ошибки в компоненте клиента 2D. Удаленный пользователь может с помощью недоверенных приложений Java Web Start скомпрометировать целевую систему.

3. Уязвимость существует из-за неизвестной ошибки в компоненте клиента 2D. Удаленный пользователь может с помощью недоверенных приложений Java Web Start скомпрометировать целевую систему.

4. Уязвимость существует из-за неизвестной ошибки в компоненте клиента 2D. Удаленный пользователь может с помощью недоверенных приложений Java Web Start скомпрометировать целевую систему.

5. Уязвимость существует из-за неизвестной ошибки в компоненте клиента 2D. Удаленный пользователь может с помощью недоверенных приложений Java Web Start скомпрометировать целевую систему.

6. Уязвимость существует из-за неизвестной ошибки в компоненте клиента 2D. Удаленный пользователь может с помощью недоверенных приложений Java Web Start скомпрометировать целевую систему.

7. Уязвимость существует из-за неизвестной ошибки в компоненте клиента 2D. Удаленный пользователь может с помощью недоверенных приложений Java Web Start скомпрометировать целевую систему.

8. Уязвимость существует из-за неизвестной ошибки в компоненте клиента 2D. Удаленный пользователь может с помощью недоверенных приложений Java Web Start скомпрометировать целевую систему.

9. Уязвимость существует из-за неизвестной ошибки в компоненте клиента AWT. Удаленный пользователь может с помощью недоверенных приложений Java Web Start скомпрометировать целевую систему.

10. Уязвимость существует из-за неизвестной ошибки в компоненте клиента Deployment. Удаленный пользователь может с помощью недоверенных приложений Java Web Start скомпрометировать целевую систему.

11. Уязвимость существует из-за неизвестной ошибки в компоненте клиента Deployment. Удаленный пользователь может с помощью недоверенных приложений Java Web Start скомпрометировать целевую систему.

12. Уязвимость существует из-за неизвестной ошибки в компоненте клиента AWT. Удаленный пользователь может с помощью недоверенных приложений Java Web Start скомпрометировать целевую систему.

13. Уязвимость существует из-за неизвестной ошибки в компоненте клиента Deployment. Удаленный пользователь может с помощью недоверенных приложений Java Web Start скомпрометировать целевую систему.

14. Уязвимость существует из-за неизвестной ошибки в компоненте клиента Serviceability. Удаленный пользователь может с помощью недоверенных приложений Java Web Start скомпрометировать целевую систему.

15. Уязвимость существует из-за неизвестной ошибки в компоненте клиента Hotspot. Удаленный пользователь может с помощью недоверенных приложений Java Web Start осуществить DoS-атаку.

16. Уязвимость существует из-за неизвестной ошибки в компоненте клиента Sound. Удаленный пользователь может с помощью недоверенных приложений Java Web Start скомпрометировать целевую систему.

17. Уязвимость существует из-за неизвестной ошибки в компоненте клиента Deployment. Удаленный пользователь может с помощью недоверенных приложений Java Web Start скомпрометировать целевую систему.

18. Уязвимость существует из-за неизвестной ошибки в компоненте Libraries. Удаленный пользователь может скомпрометировать целевую систему.

19. Уязвимость существует из-за неизвестной ошибки в компоненте Install. Локальный пользователь может повысить свои привилегии на системе.

20. Уязвимость существует из-за неизвестной ошибки в компоненте Libraries. Удаленный пользователь может раскрыть потенциально важную информацию и осуществить DoS-атаку.

21. Уязвимость существует из-за неизвестной ошибки в компоненте JDBC. Удаленный пользователь может раскрыть потенциально важную информацию и манипулировать ею.

22. Уязвимость существует из-за неизвестной ошибки в компоненте Libraries. Удаленный пользователь может раскрыть потенциально важную информацию и манипулировать ею.

23. Уязвимость существует из-за неизвестной ошибки в компоненте AWT. Удаленный пользователь может с помощью недоверенных приложений Java Web Start осуществить DoS-атаку.

24. Уязвимость существует из-за неизвестной ошибки в компоненте CORBA. Удаленный пользователь может с помощью недоверенных приложений Java Web Start раскрыть потенциально важную информацию.

25. Уязвимость существует из-за неизвестной ошибки в компоненте Deployment. Удаленный пользователь может с помощью недоверенных приложений Java Web Start раскрыть потенциально важную информацию.

26. Уязвимость существует из-за неизвестной ошибки в компоненте Deployment. Удаленный пользователь может с помощью недоверенных приложений Java Web Start манипулировать определенными данными.

27. Уязвимость существует из-за неизвестной ошибки в компоненте Deployment. Удаленный пользователь может с помощью недоверенных приложений Java Web Start манипулировать определенными данными.

28. Уязвимость существует из-за неизвестной ошибки в компоненте JMX. Удаленный пользователь может манипулировать определенными данными.

29. Уязвимость существует из-за неизвестной ошибки в компоненте JMX. Удаленный пользователь может с помощью недоверенных приложений Java Web Start манипулировать определенными данными.

30. Уязвимость существует из-за неизвестной ошибки в компоненте Libraries. Удаленный пользователь может с помощью недоверенных приложений Java Web Start раскрыть потенциально важную информацию.

31. Уязвимость существует из-за неизвестной ошибки в компоненте Libraries. Удаленный пользователь может с помощью недоверенных приложений Java Web Start раскрыть потенциально важную информацию.

32. Уязвимость существует из-за неизвестной ошибки в компоненте Libraries. Удаленный пользователь может с помощью недоверенных приложений Java Web Start раскрыть потенциально важную информацию.

33. Уязвимость существует из-за неизвестной ошибки в компоненте Networking. Удаленный пользователь может с помощью недоверенных приложений Java Web Start раскрыть потенциально важную информацию.

34. Уязвимость существует из-за неизвестной ошибки в компоненте Serialization. Удаленный пользователь может с помощью недоверенных приложений Java Web Start осуществить DoS-атаку.

35. Уязвимость существует из-за неизвестной ошибки в компоненте Serialization. Удаленный пользователь может с помощью недоверенных приложений Java Web Start раскрыть потенциально важную информацию.

36. Уязвимость существует из-за неизвестной ошибки в компоненте Serviceability. Удаленный пользователь может с помощью недоверенных приложений Java Web Start раскрыть потенциально важную информацию.

37. Уязвимость существует из-за неизвестной ошибки в компоненте Libraries. Удаленный пользователь может с помощью недоверенных приложений Java Web Start раскрыть потенциально важную информацию.

38. Уязвимость существует из-за неизвестной ошибки при обработке входных данных в URL в документах, созданных при помощи Javadoc. Удаленный пользователь может с помощью специально сформированной ссылки отобразить другому пользователю произвольный контент.

39. Уязвимость существует из-за неизвестной ошибки в компоненте Networking. Удаленный пользователь может повысить свои привилегии на системе.

40. Уязвимость существует из-за неизвестной ошибки в компоненте 2D. Удаленный пользователь может раскрыть потенциально важную информацию и манипулировать ею.

URL производителя: http://www.oracle.com/technetwork/java/index.html

Решение: Установите обновление с сайта производителя.

Ссылки: Java Applet ProviderSkeleton Insecure Invoke Method Exploit
Java storeImageArray() Invalid Array Indexing Exploit
Oracle Java lookUpByteBI - DoS PoC

http://www.oracle.com/technetwork/topics/security/javacpujun2013-1899847.html
http://www.oracle.com/technetwork/topics/security/javacpujun2013verbose-1899853.html
Журнал изменений: a:2:{s:4:"TEXT";s:94:"02.07.2013 - Добавлен РоС-код. 23.08.2013 - Добавлен РоС-код. 06.09.2013 - Добавлен РоС-код.";s:4:"TYPE";s:4:"html";}