公告ID(KYSA-202104-1418)
公告ID:KYSA-202104-1418
公告摘要:java-1.7.0-openjdk安全漏洞
等級(jí):Critical
發(fā)布日期:2021-04-08
詳細(xì)介紹
1.修復(fù)的CVE
·CVE-2014-3566
描述:OpenSSL是Openssl團(tuán)隊(duì)的一個(gè)開(kāi)源的能夠?qū)崿F(xiàn)安全套接層(SSLv2/v3)和安全傳輸層(TLSv1)協(xié)議的通用加密庫(kù)���。該產(chǎn)品支持多種加密算法,包括對(duì)稱密碼��、哈希算法�、安全散列算法等�����。OpenSSL 1.0.1i及之前版本中使用的SSL protocol 3.0版本中存在加密問(wèn)題漏洞�����,該漏洞源于程序使用非確定性的CBC填充�。攻擊者可借助padding-oracle攻擊利用該漏洞實(shí)施中間人攻擊����,獲取明文數(shù)據(jù)。
·CVE-2016-0686
描述:Oracle Java SE 6u113�、7u99和8u77以及Java SE Embedded 8u77中存在未明漏洞,遠(yuǎn)程攻擊者可借助與序列化相關(guān)的向量影響機(jī)密性�����、完整性和可用性���。
·CVE-2016-0687
描述:Oracle Java SE 6u113�、7u99和8u77以及Java SE Embedded 8u77中存在未明漏洞�,遠(yuǎn)程攻擊者可借助與熱點(diǎn)子組件相關(guān)的向量影響機(jī)密性��、完整性和可用性。
·CVE-2016-0695
描述:發(fā)現(xiàn)OpenJDK中的安全組件在生成DSA簽名時(shí)未能檢查摘要算法的強(qiáng)度���。使用弱于密鑰強(qiáng)度的摘要可能會(huì)導(dǎo)致生成比預(yù)期弱的簽名。
·CVE-2016-10165
描述:Little CMS(aka lcms2)中cmstypes.c中的Type_MLU_Read函數(shù)允許遠(yuǎn)程攻擊者通過(guò)一個(gè)特制的ICC配置文件的圖像獲取敏感信息或引起拒絕服務(wù)�����,從而觸發(fā)超出邊界的堆讀取。
·CVE-2016-3425
描述:我們發(fā)現(xiàn)OpenJDK中的JAXP組件未能正確處理作為XML屬性值一部分使用的Unicode代理項(xiàng)對(duì)��。特別構(gòu)建的XML輸入可能會(huì)導(dǎo)致Java應(yīng)用程序在解析時(shí)使用過(guò)多的內(nèi)存��。
·CVE-2016-3427
描述:Oracle Java SE等都是美國(guó)甲骨文(Oracle)公司的產(chǎn)品。Oracle Java SE是一款用于開(kāi)發(fā)和部署桌面����、服務(wù)器以及嵌入設(shè)備和實(shí)時(shí)環(huán)境中的Java應(yīng)用程序。Oracle Java SE Embedded是一款針對(duì)嵌入式系統(tǒng)的�����、可移植的應(yīng)用程序的Java平臺(tái)。Oracle Jrockit是一款內(nèi)置于Oracle融合中間件中的Java虛擬機(jī)�����。Oracle Java SE���、Java SE Embedded和JRockit中的JMX子組件存在安全漏洞�。遠(yuǎn)程攻擊者可利用該漏洞控制組件�����,影響數(shù)據(jù)的保密性�,完整性及可用性�����。以下版本受到影響:Oracle Java SE 6u113版本�,7u99版本,8u77版本���,Java SE Embedded 8u77版本��,Jrockit R28.3.9版本�����。
·CVE-2016-3458
描述:Oracle Java SE 6u115����、7u101和8u92�;以及Java SE Embedded 8u91中存在未明漏洞,遠(yuǎn)程攻擊者可借助與CORBA相關(guān)的向量影響完整性�。
·CVE-2016-3500
描述:Oracle Java SE 6u115、7u101和8u92�;Java SE Embedded 8u91;和JRockit R28.3.10中的未指明漏洞允許遠(yuǎn)程攻擊者通過(guò)與JAXP相關(guān)的向量來(lái)影響可用性�,這是一個(gè)與CVE-2016-3508不同的漏洞�。
·CVE-2016-3508
描述:Oracle Java SE 6u115�、7u101和8u92��;Java SE Embedded 8u91;和JRockit R28.3.10中的未指明漏洞允許遠(yuǎn)程攻擊者通過(guò)與JAXP相關(guān)的向量來(lái)影響可用性��,這是一個(gè)與CVE-2016-3500不同的漏洞����。
·CVE-2016-3550
描述:Oracle Java SE 6u115�、7u101和8u92以及Java SE Embedded 8u91中存在未明漏洞���,遠(yuǎn)程攻擊者可借助與熱點(diǎn)相關(guān)的向量影響機(jī)密性�。
·CVE-2016-3598
描述:Oracle Java SE 8u92和Java SE Embedded 8u91中的未指明漏洞允許遠(yuǎn)程攻擊者通過(guò)與庫(kù)相關(guān)的向量來(lái)影響機(jī)密性�、完整性和可用性,這是一個(gè)與CVE-2016-3610不同的漏洞���。
·CVE-2016-3606
描述:Oracle Java SE 7u101和8u92以及Java SE Embedded 8u91中存在未明漏洞���,遠(yuǎn)程攻擊者可借助與熱點(diǎn)相關(guān)的向量影響機(jī)密性�、完整性和可用性���。
·CVE-2016-3610
描述:Oracle Java SE 8u92和Java SE Embedded 8u91中存在未明漏洞�����,遠(yuǎn)程攻擊者可借助與庫(kù)相關(guān)的向量來(lái)影響機(jī)密性、完整性和可用性�,這是一個(gè)與CVE-2016-3598不同的漏洞����。
·CVE-2016-5542
描述:我們發(fā)現(xiàn)OpenJDK的Libraries組件沒(méi)有限制用于JAR完整性驗(yàn)證的算法集。此漏洞允許攻擊者修改使用弱簽名密鑰或哈希算法的JAR文件的內(nèi)容�。
·CVE-2016-5546
描述:我們發(fā)現(xiàn)OpenJDK的Libraries組件使用非規(guī)范的DER編碼接受ECDSA簽名。這可能導(dǎo)致Java應(yīng)用程序以其他加密工具無(wú)法接受的錯(cuò)誤格式接受簽名�。
·CVE-2016-5547
描述:我們發(fā)現(xiàn)OpenJDK的Libraries組件在分配內(nèi)存來(lái)存儲(chǔ)OID之前沒(méi)有驗(yàn)證從DER輸入讀取的對(duì)象標(biāo)識(shí)符的長(zhǎng)度���。攻擊者能夠使Java應(yīng)用程序解碼巧盡心思構(gòu)建的DER輸入,可能會(huì)導(dǎo)致應(yīng)用程序消耗過(guò)多內(nèi)存�����。
·CVE-2016-5548
描述:在OpenJDK的Libraries組件的DSA實(shí)現(xiàn)中發(fā)現(xiàn)了一個(gè)隱蔽的定時(shí)通道缺陷����。遠(yuǎn)程攻擊者可能利用此漏洞通過(guò)定時(shí)側(cè)通道提取有關(guān)所用密鑰的特定信息。
·CVE-2016-5552
描述:我們發(fā)現(xiàn)OpenJDK的網(wǎng)絡(luò)組件無(wú)法正確解析URL中的用戶信息��。遠(yuǎn)程攻擊者可能會(huì)導(dǎo)致Java應(yīng)用程序錯(cuò)誤地解析攻擊者提供的URL��,并以與處理同一URL的其他應(yīng)用程序不同的方式對(duì)其進(jìn)行解釋���。
·CVE-2016-5554
描述:在OpenJDK的JMX組件處理類(lèi)加載器的方式中發(fā)現(xiàn)了一個(gè)缺陷。不受信任的Java應(yīng)用程序或小程序可以利用此缺陷繞過(guò)某些Java沙盒限制�。
·CVE-2016-5573
描述:我們發(fā)現(xiàn)OpenJDK的熱點(diǎn)組件沒(méi)有正確檢查接收到的Java調(diào)試線協(xié)議(JDWP)包。如果攻擊者能夠使受害者的瀏覽器向調(diào)試應(yīng)用程序的JDWP端口發(fā)送HTTP請(qǐng)求���,則攻擊者可能會(huì)利用此漏洞向運(yùn)行調(diào)試的Java程序發(fā)送調(diào)試命令���。
·CVE-2016-5582
描述:我們發(fā)現(xiàn)OpenJDK的熱點(diǎn)組件沒(méi)有正確檢查系統(tǒng)陣列復(fù)制()在某些情況下起作用。不受信任的Java應(yīng)用程序或小程序可以利用此漏洞破壞虛擬機(jī)的內(nèi)存��,并完全繞過(guò)Java沙盒限制。
·CVE-2016-5597
描述:在OpenJDK的網(wǎng)絡(luò)組件處理HTTP代理身份驗(yàn)證的方式中發(fā)現(xiàn)了一個(gè)缺陷���。如果代理請(qǐng)求身份驗(yàn)證���,Java應(yīng)用程序可能會(huì)通過(guò)純文本網(wǎng)絡(luò)連接到HTTP代理來(lái)公開(kāi)HTTPS服務(wù)器身份驗(yàn)證憑據(jù)。
·CVE-2017-10053
描述:我們發(fā)現(xiàn)OpenJDK的2D組件中的JPEGImageReader實(shí)現(xiàn)在某些情況下會(huì)讀取所有圖像數(shù)據(jù)���,即使以后不使用它�����。巧盡心思構(gòu)建的映像可能會(huì)導(dǎo)致Java應(yīng)用程序臨時(shí)使用過(guò)多的CPU和內(nèi)存����。
·CVE-2017-10067
描述:Oracle Java SE的Java SE組件中存在漏洞(子組件:安全性)�����。受影響的受支持版本是javase:6u151�、7u141和8u131。難以利用的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過(guò)多個(gè)協(xié)議訪問(wèn)網(wǎng)絡(luò)�����,從而危害Java SE。成功的攻擊需要攻擊者以外的人與人進(jìn)行交互�����。成功攻擊此漏洞可導(dǎo)致接管Java SE�。注意:此漏洞適用于Java部署,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中�����,這些客戶端加載并運(yùn)行不受信任的代碼(例如�����,來(lái)自internet的代碼)并依賴Java沙盒來(lái)確保安全�。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如��,由管理員安裝的代碼)的Java部署�,通常在服務(wù)器中。CVSS 3.0基本得分7.5(機(jī)密性���、完整性和可用性影響)�。CVSS矢量:(CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H)���。
·CVE-2017-10074
描述:Oracle Java SE的Java SE�����、Java SE嵌入式組件(子組件:熱點(diǎn))中的漏洞��。受影響的受支持版本是javase:6u151��、7u141和8u131�;javase Embedded:8u131。難以利用的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過(guò)多個(gè)協(xié)議訪問(wèn)網(wǎng)絡(luò)�����,危害Java SE��、Java SE Embedded�。成功的攻擊需要攻擊者以外的人與人交互,雖然漏洞存在于javase中�,但攻擊可能會(huì)嚴(yán)重影響其他產(chǎn)品。成功攻擊此漏洞可導(dǎo)致接管Java SE�����,Java SE Embedded���。注意:此漏洞適用于Java部署�����,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中�����,這些客戶端加載并運(yùn)行不受信任的代碼(例如�����,來(lái)自internet的代碼)并依賴Java沙盒來(lái)確保安全�����。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如�,由管理員安裝的代碼)的Java部署,通常在服務(wù)器中��。CVSS 3.0基本得分8.3(機(jī)密性�����、完整性和可用性影響)����。CVSS矢量:(CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H)。
·CVE-2017-10081
描述:Oracle Java SE的Java SE���、Java SE嵌入式組件(子組件:熱點(diǎn))中的漏洞�。受影響的受支持版本是javase:6u151����、7u141和8u131;javase Embedded:8u131�。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過(guò)多個(gè)協(xié)議訪問(wèn)網(wǎng)絡(luò),從而危害Java SE�����、Java SE Embedded��。成功的攻擊需要攻擊者以外的人與人進(jìn)行交互��。成功攻擊此漏洞可導(dǎo)致未經(jīng)授權(quán)更新����、插入或刪除對(duì)Java SE、Java SE嵌入的可訪問(wèn)數(shù)據(jù)的訪問(wèn)����。注意:此漏洞適用于Java部署�����,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中���,這些客戶端加載并運(yùn)行不受信任的代碼(例如,來(lái)自internet的代碼)并依賴Java沙盒來(lái)確保安全�。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如,由管理員安裝的代碼)的Java部署�����,通常在服務(wù)器中����。CVSS 3.0基本得分4.3(完整性影響)。CVSS矢量:(CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N)���。
·CVE-2017-10087
描述:Oracle Java SE的Java SE�、Java SE嵌入式組件(子組件:庫(kù))中存在漏洞���。受影響的受支持版本是javase:6u151�、7u141和8u131����;javase Embedded:8u131。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過(guò)多個(gè)協(xié)議訪問(wèn)網(wǎng)絡(luò)��,從而危害Java SE��、Java SE Embedded����。成功的攻擊需要攻擊者以外的人與人交互,雖然漏洞存在于javase中����,但攻擊可能會(huì)嚴(yán)重影響其他產(chǎn)品。成功攻擊此漏洞可導(dǎo)致接管Java SE���,Java SE Embedded�。注意:此漏洞適用于Java部署�,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中,這些客戶端加載并運(yùn)行不受信任的代碼(例如���,來(lái)自internet的代碼)并依賴Java沙盒來(lái)確保安全���。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如�,由管理員安裝的代碼)的Java部署����,通常在服務(wù)器中。CVSS 3.0基本得分9.6(機(jī)密性���、完整性和可用性影響)��。CVSS矢量:(CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H)�。
·CVE-2017-10089
描述:Oracle Java SE的Java SE組件(子組件:ImageIO)中存在漏洞�����。受影響的受支持版本是javase:6u151���、7u141和8u131�。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過(guò)多個(gè)協(xié)議訪問(wèn)網(wǎng)絡(luò)���,從而危害Java SE�。成功的攻擊需要攻擊者以外的人與人交互,雖然漏洞存在于Java SE中���,但攻擊可能會(huì)嚴(yán)重影響其他產(chǎn)品。成功攻擊此漏洞可導(dǎo)致接管Java SE����。注意:此漏洞適用于Java部署,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中��,這些客戶端加載并運(yùn)行不受信任的代碼(例如�,來(lái)自internet的代碼)并依賴Java沙盒來(lái)確保安全。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如�����,由管理員安裝的代碼)的Java部署�����,通常在服務(wù)器中����。CVSS 3.0基本得分9.6(機(jī)密性、完整性和可用性影響)�。CVSS矢量:(CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H)。
·CVE-2017-10090
描述:Oracle Java SE的Java SE、Java SE嵌入式組件(子組件:庫(kù))中存在漏洞���。受影響的受支持版本是javase:7u141和8u131�����;javase Embedded:8u131��。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過(guò)多個(gè)協(xié)議訪問(wèn)網(wǎng)絡(luò)�����,從而危害Java SE��、Java SE Embedded��。成功的攻擊需要攻擊者以外的人與人交互�,雖然漏洞存在于javase中�,但攻擊可能會(huì)嚴(yán)重影響其他產(chǎn)品��。成功攻擊此漏洞可導(dǎo)致接管Java SE��,Java SE Embedded。注意:此漏洞適用于Java部署����,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中�����,這些客戶端加載并運(yùn)行不受信任的代碼(例如�,來(lái)自internet的代碼)并依賴Java沙盒來(lái)確保安全�����。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如��,由管理員安裝的代碼)的Java部署��,通常在服務(wù)器中��。CVSS 3.0基本得分9.6(機(jī)密性�����、完整性和可用性影響)�����。CVSS矢量:(CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H)��。
·CVE-2017-10096
描述:Oracle Java SE的Java SE��、Java SE嵌入式組件(子組件:JAXP)中存在漏洞����。受影響的受支持版本是javase:6u151、7u141和8u131�����;javase Embedded:8u131����。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過(guò)多個(gè)協(xié)議訪問(wèn)網(wǎng)絡(luò),從而危害Java SE���、Java SE Embedded����。成功的攻擊需要攻擊者以外的人與人交互��,雖然漏洞存在于javase中��,但攻擊可能會(huì)嚴(yán)重影響其他產(chǎn)品�。成功攻擊此漏洞可導(dǎo)致接管Java SE�,Java SE Embedded����。注意:此漏洞適用于Java部署,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中���,這些客戶端加載并運(yùn)行不受信任的代碼(例如����,來(lái)自internet的代碼)并依賴Java沙盒來(lái)確保安全��。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如��,由管理員安裝的代碼)的Java部署���,通常在服務(wù)器中。CVSS 3.0基本得分9.6(機(jī)密性�����、完整性和可用性影響)�。CVSS矢量:(CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H)。
·CVE-2017-10101
描述:Oracle Java SE的Java SE���、Java SE嵌入式組件(子組件:JAXP)中存在漏洞�。受影響的受支持版本是javase:6u151、7u141和8u131�����;javase Embedded:8u131���。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過(guò)多個(gè)協(xié)議訪問(wèn)網(wǎng)絡(luò)���,從而危害Java SE、Java SE Embedded�����。成功的攻擊需要攻擊者以外的人與人交互�����,雖然漏洞存在于javase中�����,但攻擊可能會(huì)嚴(yán)重影響其他產(chǎn)品��。成功攻擊此漏洞可導(dǎo)致接管Java SE,Java SE Embedded�����。注意:此漏洞適用于Java部署���,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中�,這些客戶端加載并運(yùn)行不受信任的代碼(例如��,來(lái)自internet的代碼)并依賴Java沙盒來(lái)確保安全����。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如,由管理員安裝的代碼)的Java部署���,通常在服務(wù)器中。CVSS 3.0基本得分9.6(機(jī)密性�、完整性和可用性影響)。CVSS矢量:(CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H)�����。
·CVE-2017-10102
描述:我們發(fā)現(xiàn)OpenJDK的RMI組件中的DCG實(shí)現(xiàn)無(wú)法正確處理引用����。遠(yuǎn)程攻擊者可能利用此漏洞以RMI注冊(cè)表或Java RMI應(yīng)用程序的權(quán)限執(zhí)行任意代碼��。
·CVE-2017-10107
描述:Oracle Java SE的Java SE�����、Java SE嵌入式組件(子組件:RMI)中存在漏洞�。受影響的受支持版本是javase:6u151�����、7u141和8u131��;javase EmbedAded:8u131���。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過(guò)多個(gè)協(xié)議訪問(wèn)網(wǎng)絡(luò)��,從而危害Java SE�、Java SE Embedded����。成功的攻擊需要攻擊者以外的人與人交互,雖然漏洞存在于javase中,但攻擊可能會(huì)嚴(yán)重影響其他產(chǎn)品����。成功攻擊此漏洞可導(dǎo)致接管Java SE,Java SE Embedded�����。注意:此漏洞適用于Java部署�����,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中����,這些客戶端加載并運(yùn)行不受信任的代碼(例如,來(lái)自internet的代碼)并依賴Java沙盒來(lái)確保安全�����。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如�����,由管理員安裝的代碼)的Java部署����,通常在服務(wù)器中。CVSS 3.0基本得分9.6(機(jī)密性���、完整性和可用性影響)����。CVSS矢量:(CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H)�。
·CVE-2017-10108
描述:Oracle Java SE的Java SE、Java SE Embedded�����、JRockit組件(子組件:序列化)中存在漏洞���。受影響的受支持版本是javase:6u151��、7u141和8u131����;javase Embedded:8u131���;JRockit:R28.3.14���。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過(guò)多種協(xié)議訪問(wèn)網(wǎng)絡(luò)���,從而危害Java SE、Java SE Embedded����、JRockit。成功攻擊此漏洞會(huì)導(dǎo)致未經(jīng)授權(quán)的能力���,從而導(dǎo)致Java SE�����、Java SE Embedded���、JRockit的部分拒絕服務(wù)(部分拒絕服務(wù))。注意:此漏洞可通過(guò)沙盒Java Web Start應(yīng)用程序和沙盒Java小程序進(jìn)行攻擊�。也可以通過(guò)向指定組件中的api提供數(shù)據(jù)而不使用沙盒javawebstart應(yīng)用程序或沙盒Java applet(例如通過(guò)Web服務(wù))來(lái)攻擊它。CVSS 3.0基本得分5.3(可用性影響)�。CVSS矢量:(CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)。
·CVE-2017-10109
描述:Oracle Java SE的Java SE��、Java SE Embedded�����、JRockit組件(子組件:序列化)中存在漏洞�。受影響的受支持版本是javase:6u151、7u141和8u131���;javase Embedded:8u131�;JRockit:R28.3.14���。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過(guò)多種協(xié)議訪問(wèn)網(wǎng)絡(luò)�,從而危害Java SE����、Java SE Embedded、JRockit���。成功攻擊此漏洞會(huì)導(dǎo)致未經(jīng)授權(quán)的能力���,從而導(dǎo)致Java SE、Java SE Embedded����、JRockit的部分拒絕服務(wù)(部分拒絕服務(wù))�����。注意:此漏洞適用于Java部署����,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中��,這些客戶端加載并運(yùn)行不受信任的代碼(例如����,來(lái)自internet的代碼)并依賴Java沙盒來(lái)確保安全。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如�����,由管理員安裝的代碼)的Java部署����,通常在服務(wù)器中。CVSS 3.0基本得分5.3(可用性影響)�����。CVSS矢量:(CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)����。
·CVE-2017-10110
描述:Oracle Java SE的Java SE組件(子組件:AWT)中存在漏洞�����。受影響的受支持版本是javase:6u151、7u141和8u131���。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過(guò)多個(gè)協(xié)議訪問(wèn)網(wǎng)絡(luò)�����,從而危害Java SE�����。成功的攻擊需要攻擊者以外的人與人交互����,雖然漏洞存在于Java SE中����,但攻擊可能會(huì)嚴(yán)重影響其他產(chǎn)品。成功攻擊此漏洞可導(dǎo)致接管Java SE�����。注意:此漏洞適用于Java部署,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中�,這些客戶端加載并運(yùn)行不受信任的代碼(例如,來(lái)自internet的代碼)并依賴Java沙盒來(lái)確保安全��。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如����,由管理員安裝的代碼)的Java部署,通常在服務(wù)器中�����。CVSS 3.0基本得分9.6(機(jī)密性��、完整性和可用性影響)�。CVSS矢量:(CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H)。
·CVE-2017-10115
描述:在OpenJDK的JCE組件的DSA實(shí)現(xiàn)中發(fā)現(xiàn)了一個(gè)隱蔽的定時(shí)通道缺陷�。能夠使Java應(yīng)用程序按需生成DSA簽名的遠(yuǎn)程攻擊者可能利用此漏洞通過(guò)定時(shí)側(cè)通道提取有關(guān)所用密鑰的特定信息。
·CVE-2017-10116
描述:我們發(fā)現(xiàn)OpenJDK的安全組件中的LDAPCertStore類(lèi)遵循LDAP對(duì)任意url的引用�。巧盡心思構(gòu)建的LDAP引用URL可能會(huì)導(dǎo)致LDAPCertStore與非LDAP服務(wù)器通信。
·CVE-2017-10135
描述:OpenJDK的JCE組件中的PKCS#8實(shí)現(xiàn)中發(fā)現(xiàn)了一個(gè)隱蔽的定時(shí)通道缺陷���。能夠使Java應(yīng)用程序反復(fù)將PKCS#8密鑰與攻擊者控制的值進(jìn)行比較的遠(yuǎn)程攻擊者可能利用此漏洞通過(guò)定時(shí)側(cè)通道確定密鑰�����。
·CVE-2017-10193
描述:Oracle Java SE的Java SE��、Java SE嵌入式組件(子組件:安全性)中的漏洞�。受影響的受支持版本是javase:6u151、7u141和8u131�����;javase Embedded:8u131�����。難以利用的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過(guò)多個(gè)協(xié)議訪問(wèn)網(wǎng)絡(luò)��,危害Java SE�、Java SE Embedded�。成功的攻擊需要攻擊者以外的人與人進(jìn)行交互。成功攻擊此漏洞可導(dǎo)致對(duì)Java SE�����、Java SE嵌入式可訪問(wèn)數(shù)據(jù)的子集進(jìn)行未經(jīng)授權(quán)的讀取訪問(wèn)�。注意:此漏洞適用于Java部署�,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中��,這些客戶端加載并運(yùn)行不受信任的代碼(例如����,來(lái)自internet的代碼)并依賴Java沙盒來(lái)確保安全。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如����,由管理員安裝的代碼)的Java部署,通常在服務(wù)器中����。CVSS 3.0基本得分3.1(保密影響)。CVSS矢量:(CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N)�����。
·CVE-2017-10198
描述:我們發(fā)現(xiàn)OpenJDK的安全組件可能無(wú)法正確執(zhí)行為處理X.509證書(shū)鏈而定義的限制���。遠(yuǎn)程攻擊者可能利用此漏洞使Java接受使用禁用算法之一的證書(shū)���。
·CVE-2017-10243
描述:我們發(fā)現(xiàn)OpenJDK的JAX-WS組件中的wsdlimport工具在解析WSDL-XML文檔時(shí)沒(méi)有使用安全的XML解析器設(shè)置。巧盡心思構(gòu)建的WSDL文檔可能會(huì)導(dǎo)致wsdlimport使用過(guò)多的CPU和內(nèi)存、打開(kāi)與其他主機(jī)的連接或泄漏信息���。
·CVE-2017-10274
描述:Oracle Java SE的Java SE組件(子組件:智能卡IO)中存在漏洞��。受影響的受支持版本是javase:6u161�、7u151���、8u144和9��。難以利用的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過(guò)多個(gè)協(xié)議訪問(wèn)網(wǎng)絡(luò)���,從而危害Java SE���。成功的攻擊需要攻擊者以外的人與人進(jìn)行交互�。成功攻擊此漏洞可導(dǎo)致未經(jīng)授權(quán)創(chuàng)建���、刪除或修改關(guān)鍵數(shù)據(jù)或所有Java SE可訪問(wèn)數(shù)據(jù)����,以及未經(jīng)授權(quán)訪問(wèn)關(guān)鍵數(shù)據(jù)或完全訪問(wèn)所有Java SE可訪問(wèn)數(shù)據(jù)�����。注意:此漏洞適用于Java部署,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中����,這些客戶端加載并運(yùn)行不受信任的代碼(例如,來(lái)自internet的代碼)并依賴Java沙盒來(lái)確保安全�����。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如���,由管理員安裝的代碼)的Java部署���,通常在服務(wù)器中。CVSS 3.0基本得分6.8(機(jī)密性和完整性影響)����。CVSS矢量:(CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:N)。
·CVE-2017-10281
描述:Oracle Java SE的Java SE��、Java SE Embedded��、JRockit組件(子組件:序列化)中存在漏洞��。受影響的受支持版本是javase:6u161、7u151��、8u144和9���;javase Embedded:8u144�;JRockit:R28.3.15��。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過(guò)多種協(xié)議訪問(wèn)網(wǎng)絡(luò)���,從而危害Java SE���、Java SE Embedded、JRockit��。成功攻擊此漏洞會(huì)導(dǎo)致未經(jīng)授權(quán)的能力����,從而導(dǎo)致Java SE���、Java SE Embedded��、JRockit的部分拒絕服務(wù)(部分拒絕服務(wù))����。注意:此漏洞可通過(guò)沙盒Java Web Start應(yīng)用程序和沙盒Java小程序進(jìn)行攻擊。也可以通過(guò)向指定組件中的api提供數(shù)據(jù)而不使用沙盒javawebstart應(yīng)用程序或沙盒Java applet(例如通過(guò)Web服務(wù))來(lái)攻擊它���。CVSS 3.0基本得分5.3(可用性影響)���。CVSS矢量:(CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)。
·CVE-2017-10285
描述:Oracle Java SE的Java SE����、Java SE嵌入式組件(子組件:RMI)中存在漏洞。受影響的受支持版本是javase:6u161�����、7u151�����、8u144和9�����;javase Embedded:8u144����。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過(guò)多個(gè)協(xié)議訪問(wèn)網(wǎng)絡(luò)��,從而危害Java SE����、Java SE Embedded����。成功的攻擊需要攻擊者以外的人與人交互,雖然漏洞存在于javase中��,但攻擊可能會(huì)嚴(yán)重影響其他產(chǎn)品��。成功攻擊此漏洞可導(dǎo)致接管Java SE��,Java SE Embedded��。注意:此漏洞適用于Java部署�,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中,這些客戶端加載并運(yùn)行不受信任的代碼(例如��,來(lái)自internet的代碼)并依賴Java沙盒來(lái)確保安全�。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如����,由管理員安裝的代碼)的Java部署�����,通常在服務(wù)器中�。CVSS 3.0基本得分9.6(機(jī)密性����、完整性和可用性影響)。CVSS矢量:(CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H)�����。
·CVE-2017-10295
描述:發(fā)現(xiàn)OpenJDK的網(wǎng)絡(luò)組件中的HttpURLConnection和HttpsURLConnection類(lèi)無(wú)法檢查url中嵌入的換行字符����。如果攻擊者能夠使用攻擊者提供的URL使Java應(yīng)用程序執(zhí)行HTTP請(qǐng)求,則可能會(huì)向請(qǐng)求中注入額外的標(biāo)頭�。
·CVE-2017-10345
描述:Oracle Java SE的Java SE、Java SE Embedded���、JRockit組件(子組件:序列化)中存在漏洞���。受影響的受支持版本是javase:6u161��、7u151�����、8u144和9��;javase Embedded:8u144����;JRockit:R28.3.15�����。難以利用的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過(guò)多種協(xié)議訪問(wèn)網(wǎng)絡(luò)��,從而危害Java SE��、Java SE Embedded�����、JRockit����。成功的攻擊需要攻擊者以外的人與人進(jìn)行交互�。成功攻擊此漏洞會(huì)導(dǎo)致未經(jīng)授權(quán)的能力����,從而導(dǎo)致Java SE��、Java SE Embedded�����、JRockit的部分拒絕服務(wù)(部分拒絕服務(wù))��。注意:此漏洞可通過(guò)沙盒Java Web Start應(yīng)用程序和沙盒Java小程序進(jìn)行攻擊��。也可以通過(guò)向指定組件中的api提供數(shù)據(jù)而不使用沙盒javawebstart應(yīng)用程序或沙盒Java applet(例如通過(guò)Web服務(wù))來(lái)攻擊它���。CVSS 3.0基本得分3.1(可用性影響)�����。CVSS矢量:(CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:N/A:L)��。
·CVE-2017-10346
描述:Oracle Java SE的Java SE��、Java SE嵌入式組件(子組件:熱點(diǎn))中的漏洞�。受影響的受支持版本是javase:6u161、7u151����、8u144和9;javase Embedded:8u144��。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過(guò)多個(gè)協(xié)議訪問(wèn)網(wǎng)絡(luò)�����,從而危害Java SE����、Java SE Embedded。成功的攻擊需要攻擊者以外的人與人交互����,雖然漏洞存在于javase中,但攻擊可能會(huì)嚴(yán)重影響其他產(chǎn)品��。成功攻擊此漏洞可導(dǎo)致接管Java SE�����,Java SE Embedded。注意:此漏洞適用于Java部署���,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中����,這些客戶端加載并運(yùn)行不受信任的代碼(例如����,來(lái)自internet的代碼)并依賴Java沙盒來(lái)確保安全�����。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如���,由管理員安裝的代碼)的Java部署���,通常在服務(wù)器中。CVSS 3.0基本得分9.6(機(jī)密性����、完整性和可用性影響)。CVSS矢量:(CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H)����。
·CVE-2017-10347
描述:Oracle Java SE的JRockit組件(子組件:序列化)中的漏洞�。受影響的受支持版本是javase:6u161���、7u151��、8u144和9����;javase Embedded:8u144�。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過(guò)多種協(xié)議訪問(wèn)網(wǎng)絡(luò),從而危害Java SE��、JRockit�。成功攻擊此漏洞會(huì)導(dǎo)致未經(jīng)授權(quán)的能力,從而導(dǎo)致Java SE JRockit的部分拒絕服務(wù)(部分拒絕服務(wù))��。注意:此漏洞適用于Java部署���,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中��,這些客戶端加載并運(yùn)行不受信任的代碼(例如�,來(lái)自internet的代碼)并依賴Java沙盒來(lái)確保安全����。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如�,由管理員安裝的代碼)的Java部署���,通常在服務(wù)器中�����。CVSS 3.0基本得分5.3(可用性影響)����。CVSS矢量:(CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)�����。
·CVE-2017-10348
描述:Oracle Java SE的Java SE����、Java SE嵌入式組件(子組件:庫(kù))中存在漏洞�。受影響的受支持版本是javase:6u161、7u151���、8u144和9�����;javase Embedded:8u144���。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過(guò)多個(gè)協(xié)議訪問(wèn)網(wǎng)絡(luò)�,從而危害Java SE���、Java SE Embedded����。成功攻擊此漏洞可導(dǎo)致未經(jīng)授權(quán)的能力����,從而導(dǎo)致Java SE、Java SE Embedded的部分拒絕服務(wù)(部分DOS)�。注意:此漏洞適用于Java部署,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中�,這些客戶端加載并運(yùn)行不受信任的代碼(例如,來(lái)自internet的代碼)并依賴Java沙盒來(lái)確保安全�����。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如���,由管理員安裝的代碼)的Java部署���,通常在服務(wù)器中�����。CVSS 3.0基本得分5.3(可用性影響)�����。CVSS矢量:(CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)���。
·CVE-2017-10349
描述:Oracle Java SE的Java SE、Java SE嵌入式組件(子組件:JAXP)中存在漏洞�����。受影響的受支持版本是javase:6u161���、7u151、8u144和9�����;javase Embedded:8u144。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過(guò)多個(gè)協(xié)議訪問(wèn)網(wǎng)絡(luò)���,從而危害Java SE��、Java SE Embedded����。成功攻擊此漏洞可導(dǎo)致未經(jīng)授權(quán)的能力�,從而導(dǎo)致Java SE、Java SE Embedded的部分拒絕服務(wù)(部分DOS)�。注意:此漏洞適用于Java部署,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中���,這些客戶端加載并運(yùn)行不受信任的代碼(例如����,來(lái)自internet的代碼)并依賴Java沙盒來(lái)確保安全��。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如���,由管理員安裝的代碼)的Java部署�,通常在服務(wù)器中�。CVSS 3.0基本得分5.3(可用性影響)����。CVSS矢量:(CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)�。
·CVE-2017-10350
描述:Oracle Java SE的Java SE、Java SE嵌入式組件(子組件:JAX-WS)中存在漏洞�����。受影響的受支持版本是javase:7u151��、8u144和9���;javase Embedded:8u144�����。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過(guò)多個(gè)協(xié)議訪問(wèn)網(wǎng)絡(luò)��,從而危害Java SE、Java SE Embedded���。成功攻擊此漏洞可導(dǎo)致未經(jīng)授權(quán)的能力�,從而導(dǎo)致Java SE��、Java SE Embedded的部分拒絕服務(wù)(部分DOS)。注意:此漏洞適用于Java部署�����,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中��,這些客戶端加載并運(yùn)行不受信任的代碼(例如����,來(lái)自internet的代碼)并依賴Java沙盒來(lái)確保安全。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如���,由管理員安裝的代碼)的Java部署��,通常在服務(wù)器中��。CVSS 3.0基本得分5.3(可用性影響)���。CVSS矢量:(CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)。
·CVE-2017-10355
描述:我們發(fā)現(xiàn)OpenJDK的Networking組件中的FtpClient實(shí)現(xiàn)在默認(rèn)情況下沒(méi)有設(shè)置connect和read超時(shí)���。惡意FTP服務(wù)器或中間人攻擊者可以利用此漏洞阻止連接到FTP服務(wù)器的Java應(yīng)用程序的執(zhí)行��。
·CVE-2017-10356
描述:我們發(fā)現(xiàn)OpenJDK的安全組件生成了基于弱密碼的加密密鑰��,用于保護(hù)存儲(chǔ)在密鑰庫(kù)中的私鑰�����。這使得在攻擊者能夠訪問(wèn)密鑰存儲(chǔ)時(shí)���,更容易執(zhí)行密碼猜測(cè)攻擊來(lái)解密存儲(chǔ)的密鑰���。
·CVE-2017-10357
描述:Oracle Java SE的Java SE、Java SE嵌入組件(子組件:序列化)中存在漏洞�����。受影響的受支持版本是javase:6u161����、7u151、8u144和9�����;javase Embedded:8u144����。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過(guò)多個(gè)協(xié)議訪問(wèn)網(wǎng)絡(luò),從而危害Java SE���、Java SE Embedded�����。成功攻擊此漏洞可導(dǎo)致未經(jīng)授權(quán)的能力�����,從而導(dǎo)致Java SE�����、Java SE Embedded的部分拒絕服務(wù)(部分DOS)�����。注意:此漏洞適用于Java部署��,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中��,這些客戶端加載并運(yùn)行不受信任的代碼(例如��,來(lái)自internet的代碼)并依賴Java沙盒來(lái)確保安全�����。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如�,由管理員安裝的代碼)的Java部署,通常在服務(wù)器中�����。CVSS 3.0基本得分5.3(可用性影響)�����。CVSS矢量:(CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)���。
·CVE-2017-10388
描述:我們發(fā)現(xiàn)OpenJDK的Libraries組件中的Kerberos客戶機(jī)實(shí)現(xiàn)使用了來(lái)自純文本部分的sname字段���,而不是KDC應(yīng)答消息的加密部分。中間人攻擊者可能會(huì)利用此漏洞將Kerberos服務(wù)模擬到充當(dāng)Kerberos客戶端的Java應(yīng)用程序中���。
·CVE-2017-3231
描述:Oracle Java SE的Java SE�����、Java SE嵌入式組件(子組件:網(wǎng)絡(luò))中存在漏洞��。受影響的受支持版本是javase:6u131����、7u121和8u112�����;javase Embedded:8u111����。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過(guò)多個(gè)協(xié)議訪問(wèn)網(wǎng)絡(luò),從而危害Java SE�、Java SE Embedded。成功的攻擊需要攻擊者以外的人與人進(jìn)行交互����。成功攻擊此漏洞可導(dǎo)致對(duì)Java SE、Java SE嵌入式可訪問(wèn)數(shù)據(jù)的子集進(jìn)行未經(jīng)授權(quán)的讀取訪問(wèn)��。注意:此漏洞適用于Java部署���,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中���,這些客戶端加載并運(yùn)行不受信任的代碼(例如�����,來(lái)自internet的代碼)并依賴Java沙盒來(lái)確保安全���。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如,由管理員安裝的代碼)的Java部署����,通常在服務(wù)器中。CVSS v3.0基本得分4.3(機(jī)密性影響)��。
·CVE-2017-3241
描述:OpenJDK的RMI組件中的RMI注冊(cè)中心和DCG實(shí)現(xiàn)執(zhí)行了不可信輸入的反序列化�。遠(yuǎn)程攻擊者可能利用此漏洞以RMI注冊(cè)表或Java RMI應(yīng)用程序的權(quán)限執(zhí)行任意代碼。
·CVE-2017-3252
描述:我們發(fā)現(xiàn)OpenJDK的JAAS組件沒(méi)有使用正確的方法從用戶搜索LDAP查詢的結(jié)果中提取用戶DN����。巧盡心思構(gòu)建的用戶LDAP條目可能會(huì)導(dǎo)致應(yīng)用程序使用不正確的DN。
·CVE-2017-3253
描述:OpenJDK的2D組件執(zhí)行iTXt和zTXt PNG圖像塊的解析��,即使配置為忽略元數(shù)據(jù)��。能夠使Java應(yīng)用程序解析巧盡心思構(gòu)建的PNG圖像的攻擊者可能會(huì)導(dǎo)致應(yīng)用程序消耗過(guò)多的內(nèi)存�。
·CVE-2017-3261
描述:Oracle Java SE的Java SE����、Java SE嵌入式組件(子組件:網(wǎng)絡(luò))中存在漏洞��。受影響的受支持版本是javase:6u131�����、7u121和8u112�;javase Embedded:8u111�����。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過(guò)多個(gè)協(xié)議訪問(wèn)網(wǎng)絡(luò)���,從而危害Java SE����、Java SE Embedded�。成功的攻擊需要攻擊者以外的人與人進(jìn)行交互。成功攻擊此漏洞可導(dǎo)致對(duì)Java SE�、Java SE嵌入式可訪問(wèn)數(shù)據(jù)的子集進(jìn)行未經(jīng)授權(quán)的讀取訪問(wèn)。注意:此漏洞適用于Java部署���,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中��,這些客戶端加載并運(yùn)行不受信任的代碼(例如��,來(lái)自internet的代碼)并依賴Java沙盒來(lái)確保安全���。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如�����,由管理員安裝的代碼)的Java部署�,通常在服務(wù)器中����。CVSS v3.0基本得分4.3(機(jī)密性影響)。
·CVE-2017-3272
描述:Oracle Java SE的Java SE�����、Java SE嵌入式組件(子組件:庫(kù))中存在漏洞����。受影響的受支持版本是javase:6u131、7u121和8u112�����;javase Embedded:8u111。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過(guò)多個(gè)協(xié)議訪問(wèn)網(wǎng)絡(luò)�,從而危害Java SE、Java SE Embedded���。成功的攻擊需要攻擊者以外的人與人交互�����,雖然漏洞存在于javase中,但攻擊可能會(huì)嚴(yán)重影響其他產(chǎn)品���。成功攻擊此漏洞可導(dǎo)致接管Java SE����,Java SE Embedded�����。注意:此漏洞適用于Java部署����,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中���,這些客戶端加載并運(yùn)行不受信任的代碼(例如,來(lái)自internet的代碼)并依賴Java沙盒來(lái)確保安全��。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如��,由管理員安裝的代碼)的Java部署�,通常在服務(wù)器中。CVSS v3.0基本得分9.6(機(jī)密性���、完整性和可用性影響)����。
·CVE-2017-3289
描述:Oracle Java SE的Java SE�、Java SE嵌入式組件(子組件:熱點(diǎn))中的漏洞。受影響的受支持版本是javase:7u121和8u112��;javase Embedded:8u111��。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過(guò)多個(gè)協(xié)議訪問(wèn)網(wǎng)絡(luò)���,從而危害Java SE��、Java SE Embedded�����。成功的攻擊需要攻擊者以外的人與人交互�����,雖然漏洞存在于javase中�,但攻擊可能會(huì)嚴(yán)重影響其他產(chǎn)品。成功攻擊此漏洞可導(dǎo)致接管Java SE�,Java SE Embedded。注意:此漏洞適用于Java部署��,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中����,這些客戶端加載并運(yùn)行不受信任的代碼(例如����,來(lái)自internet的代碼)并依賴Java沙盒來(lái)確保安全。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如���,由管理員安裝的代碼)的Java部署�,通常在服務(wù)器中。CVSS v3.0基本得分9.6(機(jī)密性�、完整性和可用性影響)。
·CVE-2017-3509
描述:OpenJDK的網(wǎng)絡(luò)組件中的HTTP客戶端實(shí)現(xiàn)可以在不同的安全上下文中緩存和重用經(jīng)過(guò)NTLM身份驗(yàn)證的連接�����。遠(yuǎn)程攻擊者可能利用此漏洞使Java應(yīng)用程序執(zhí)行使用其他用戶的憑據(jù)進(jìn)行身份驗(yàn)證的HTTP請(qǐng)求
·CVE-2017-3511
描述:在OpenJDK的JCE組件中發(fā)現(xiàn)了一個(gè)不受信任的庫(kù)搜索路徑缺陷�。本地攻擊者可能會(huì)利用此漏洞導(dǎo)致使用JCE的Java應(yīng)用程序加載攻擊者控制的庫(kù),從而提升其權(quán)限�����。
·CVE-2017-3526
描述:發(fā)現(xiàn)OpenJDK的JAXP組件在解析XML文檔時(shí)未能正確地執(zhí)行解析樹(shù)大小限制���。能夠使Java應(yīng)用程序解析巧盡心思構(gòu)建的XML文檔的攻擊者可以利用此漏洞使其消耗過(guò)多的CPU和內(nèi)存��。
·CVE-2017-3533
描述:在OpenJDK的網(wǎng)絡(luò)組件的FTP客戶端實(shí)現(xiàn)中發(fā)現(xiàn)了一個(gè)新行注入缺陷��。遠(yuǎn)程攻擊者可能利用此漏洞操縱Java應(yīng)用程序建立的FTP連接�����。
·CVE-2017-3539
描述:OpenJDK的安全組件不允許用戶限制Jar完整性驗(yàn)證所允許的算法集��。此漏洞允許攻擊者修改使用弱簽名密鑰或哈希算法的Jar文件的內(nèi)容�����。
·CVE-2017-3544
描述:在OpenJDK的網(wǎng)絡(luò)組件的SMTP客戶端實(shí)現(xiàn)中發(fā)現(xiàn)了一個(gè)新行注入缺陷��。遠(yuǎn)程攻擊者可能利用此漏洞操縱Java應(yīng)用程序建立的SMTP連接�����。
·CVE-2018-2579
描述:我們發(fā)現(xiàn)OpenJDK的Libraries組件中的多個(gè)加密密鑰類(lèi)不能正確同步對(duì)其內(nèi)部數(shù)據(jù)的訪問(wèn)�。這可能會(huì)導(dǎo)致多線程Java應(yīng)用程序?qū)?shù)據(jù)應(yīng)用弱加密,因?yàn)槭褂玫拿荑€被清零�。
·CVE-2018-2588
描述:我們發(fā)現(xiàn)OpenJDK的LDAP組件在將用戶名中的特殊字符添加到LDAP搜索查詢時(shí)未能正確編碼。遠(yuǎn)程攻擊者可能利用此漏洞操縱LdapLoginModule類(lèi)執(zhí)行的LDAP查詢��。
·CVE-2018-2599
描述:我們發(fā)現(xiàn)OpenJDK的JNDI組件中的DNS客戶端實(shí)現(xiàn)在發(fā)送DNS查詢時(shí)沒(méi)有使用隨機(jī)源端口�����。這會(huì)使遠(yuǎn)程攻擊者更容易偽造對(duì)這些查詢的響應(yīng)����。
·CVE-2018-2602
描述:我們發(fā)現(xiàn)OpenJDK的I18n組件在加載資源包類(lèi)時(shí)可能使用不可信的搜索路徑�����。本地攻擊者可能利用此漏洞,通過(guò)使其Java應(yīng)用程序加載攻擊者控制的類(lèi)文件����,以另一個(gè)本地用戶的身份執(zhí)行任意代碼。
·CVE-2018-2603
描述:我們發(fā)現(xiàn)OpenJDK的Libraries組件在讀取DER編碼的輸入時(shí)未能充分限制分配的內(nèi)存量��。如果Java應(yīng)用程序解析了攻擊者提供的DER編碼輸入����,則遠(yuǎn)程攻擊者可能會(huì)利用此缺陷使其使用過(guò)多的內(nèi)存。
·CVE-2018-2618
描述:我們發(fā)現(xiàn)OpenJDK的JCE組件中的密鑰協(xié)議實(shí)現(xiàn)不能保證使用的密鑰有足夠的強(qiáng)度來(lái)充分保護(hù)生成的共享秘密��。這使得通過(guò)攻擊密鑰協(xié)議而不是使用協(xié)商的秘密加密更容易破壞數(shù)據(jù)加密��。
·CVE-2018-2629
描述:我們發(fā)現(xiàn)OpenJDK的JGSS組件在某些情況下無(wú)法正確處理本地GSS庫(kù)包裝器中的GSS上下文�。遠(yuǎn)程攻擊者可能使用JGSS生成Java應(yīng)用程序,以使用先前釋放的上下文����。
·CVE-2018-2633
描述:我們發(fā)現(xiàn)OpenJDK的JNDI組件中的LDAPCertStore類(lèi)無(wú)法安全地處理LDAP引用。攻擊者可能利用此漏洞獲取攻擊者控制的證書(shū)數(shù)據(jù)����。
·CVE-2018-2634
描述:OpenJDK的JGSS組件忽略javax.security.auth.useSubjectCredsOnly屬性在使用HTTP/SPNEGO身份驗(yàn)證時(shí)始終使用全局憑據(jù)。發(fā)現(xiàn)這可能會(huì)導(dǎo)致不受信任的Java應(yīng)用程序意外地使用全局憑據(jù)���。
·CVE-2018-2637
描述:我們發(fā)現(xiàn)OpenJDK的JMX組件在某些情況下未能正確設(shè)置SingleEntryRegistry的反序列化過(guò)濾器�。遠(yuǎn)程攻擊者可能利用此漏洞繞過(guò)預(yù)期的反序列化限制。
·CVE-2018-2641
描述:Oracle Java SE的Java SE���、Java SE嵌入式組件(子組件:AWT)中存在漏洞���。受影響的受支持版本是javase:6u171、7u161���、8u152和9.0.1�;javase Embedded:8u151�����。難以利用的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過(guò)多個(gè)協(xié)議訪問(wèn)網(wǎng)絡(luò)�����,危害Java SE�、Java SE Embedded。成功的攻擊需要攻擊者以外的人與人交互���,雖然漏洞存在于javase中��,但攻擊可能會(huì)嚴(yán)重影響其他產(chǎn)品��。成功攻擊此漏洞可導(dǎo)致未經(jīng)授權(quán)創(chuàng)建����、刪除或修改對(duì)關(guān)鍵數(shù)據(jù)或所有Java SE����、Java SE嵌入的可訪問(wèn)數(shù)據(jù)的訪問(wèn)。注意:此漏洞適用于Java部署���,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中����,這些客戶端加載并運(yùn)行不受信任的代碼(例如���,來(lái)自internet的代碼)并依賴Java沙盒來(lái)確保安全�����。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如�,由管理員安裝的代碼)的Java部署�,通常在服務(wù)器中���。CVSS 3.0基本得分6.1(完整性影響)。CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:N/I:H/A:N).
·CVE-2018-2663
描述:Oracle Java SE的Java SE���、Java SE Embedded����、JRockit組件(子組件:庫(kù))中存在漏洞�����。受影響的受支持版本有:6u171��、7u161��、8u152和9.0.1�����;javase Embedded:8u151���;JRockit:R28.3.16�����。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過(guò)多種協(xié)議訪問(wèn)網(wǎng)絡(luò)����,從而危害Java SE��、Java SE Embedded�����、JRockit���。成功的攻擊需要攻擊者以外的人與人進(jìn)行交互�。成功攻擊此漏洞會(huì)導(dǎo)致未經(jīng)授權(quán)的能力��,從而導(dǎo)致Java SE�����、Java SE Embedded�����、JRockit的部分拒絕服務(wù)(部分拒絕服務(wù))。注意:此漏洞適用于Java的客戶端和服務(wù)器部署���。此漏洞可通過(guò)沙盒Java Web Start應(yīng)用程序和沙盒Java小程序進(jìn)行攻擊���。也可以通過(guò)向指定組件中的api提供數(shù)據(jù)而不使用沙盒javawebstart應(yīng)用程序或沙盒Java applet(例如通過(guò)Web服務(wù))來(lái)攻擊它。CVSS 3.0基本得分4.3(可用性影響)��。
·CVE-2018-2677
描述:Oracle Java SE的Java SE�����、Java SE嵌入式組件(子組件:AWT)中存在漏洞���。受影響的受支持版本是javase:6u171�、7u161��、8u152和9.0.1�;javase Embedded:8u151。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過(guò)多個(gè)協(xié)議訪問(wèn)網(wǎng)絡(luò)���,從而危害Java SE�����、Java SE Embedded���。成功的攻擊需要攻擊者以外的人與人進(jìn)行交互�。成功攻擊此漏洞可導(dǎo)致未經(jīng)授權(quán)的能力���,從而導(dǎo)致Java SE��、Java SE Embedded的部分拒絕服務(wù)(部分DOS)�。注意:此漏洞適用于Java部署�,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中�����,這些客戶端加載并運(yùn)行不受信任的代碼(例如��,來(lái)自internet的代碼)并依賴Java沙盒來(lái)確保安全���。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如����,由管理員安裝的代碼)的Java部署�����,通常在服務(wù)器中。CVSS 3.0基本得分4.3(可用性影響)����。CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L).
·CVE-2018-2678
描述:Oracle Java SE的Java SE、Java SE Embedded���、JRockit組件(子組件:JNDI)中存在漏洞��。受影響的受支持版本有:6u171��、7u161��、8u152和9.0.1�;javase Embedded:8u151��;JRockit:R28.3.16���。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過(guò)多種協(xié)議訪問(wèn)網(wǎng)絡(luò)�,從而危害Java SE����、Java SE Embedded��、JRockit�����。成功的攻擊需要攻擊者以外的人與人進(jìn)行交互�����。成功攻擊此漏洞會(huì)導(dǎo)致未經(jīng)授權(quán)的能力��,從而導(dǎo)致Java SE�、Java SE Embedded�、JRockit的部分拒絕服務(wù)(部分拒絕服務(wù))�。注意:此漏洞適用于Java的客戶端和服務(wù)器部署。此漏洞可通過(guò)沙盒Java Web Start應(yīng)用程序和沙盒Java小程序進(jìn)行攻擊��。也可以通過(guò)向指定組件中的api提供數(shù)據(jù)而不使用沙盒javawebstart應(yīng)用程序或沙盒Java applet(例如通過(guò)Web服務(wù))來(lái)攻擊它����。CVSS 3.0基本得分4.3(可用性影響)。CVSS Vector:(CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L)����。
·CVE-2018-2790
描述:Oracle Java SE的Java SE��、Java SE嵌入式組件(子組件:安全性)中的漏洞����。受影響的受支持版本是javase:6u181���、7u171��、8u162和10��;javase Embedded:8u161�����。難以利用的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過(guò)多個(gè)協(xié)議訪問(wèn)網(wǎng)絡(luò)����,危害Java SE��、Java SE Embedded���。成功的攻擊需要攻擊者以外的人與人進(jìn)行交互��。成功攻擊此漏洞可導(dǎo)致未經(jīng)授權(quán)更新����、插入或刪除對(duì)Java SE、Java SE嵌入的可訪問(wèn)數(shù)據(jù)的訪問(wèn)�。注意:此漏洞適用于Java部署,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中��,這些客戶端加載并運(yùn)行不受信任的代碼(例如�����,來(lái)自internet的代碼)并依賴Java沙盒來(lái)確保安全����。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如,由管理員安裝的代碼)的Java部署���,通常在服務(wù)器中����。CVSS 3.0基本得分3.1(完整性影響)���。CVSS Vector:(CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N)。
·CVE-2018-2794
描述:Java SE中的漏洞���,Oracle Java SE的JRockit組件(子組件:安全性)�。受影響的受支持版本是javase:6u181、7u171���、8u162�、10和JRockit:R28.3.17���。難以利用的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者登錄到執(zhí)行Java SE����、JRockit的基礎(chǔ)設(shè)施����,從而危害Java SE、JRockit��。成功的攻擊需要攻擊者以外的人與人交互�,雖然漏洞存在于Java SE、JRockit中����,但攻擊可能會(huì)顯著影響其他產(chǎn)品。成功攻擊此漏洞可導(dǎo)致接管Java SE��、JRockit。注意:適用于Java的客戶端和服務(wù)器部署��。此漏洞可通過(guò)沙盒Java Web Start應(yīng)用程序和沙盒Java小程序進(jìn)行攻擊�。也可以通過(guò)向指定組件中的api提供數(shù)據(jù)而不使用沙盒javawebstart應(yīng)用程序或沙盒Java applet(例如通過(guò)Web服務(wù))來(lái)攻擊它。CVSS 3.0基本得分7.7(機(jī)密性����、完整性和可用性影響)。CVSS Vector:(CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H)�����。
·CVE-2018-2795
描述:Oracle Java SE的Java SE����,Java SE Embedded,JRockit組件中的漏洞(子組件:安全性)�。受影響的受支持版本有:6u181、7u171��、8u162和10�����;javase Embedded:8u161�;JRockit:R28.3.17。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過(guò)多種協(xié)議訪問(wèn)網(wǎng)絡(luò)���,從而危害Java SE���、Java SE Embedded、JRockit����。成功攻擊此漏洞會(huì)導(dǎo)致未經(jīng)授權(quán)的能力,從而導(dǎo)致Java SE��、Java SE Embedded����、JRockit的部分拒絕服務(wù)(部分拒絕服務(wù))。注意:適用于Java的客戶端和服務(wù)器部署��。此漏洞可通過(guò)沙盒Java Web Start應(yīng)用程序和沙盒Java小程序進(jìn)行攻擊�。也可以通過(guò)向指定組件中的api提供數(shù)據(jù)而不使用沙盒javawebstart應(yīng)用程序或沙盒Java applet(例如通過(guò)Web服務(wù))來(lái)攻擊它。CVSS 3.0基本得分5.3(可用性影響)����。CVSS Vector:(CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)。
·CVE-2018-2796
描述:Oracle Java SE的Java SE、Java SE Embedded�����、JRockit組件(子組件:并發(fā))中存在漏洞�����。受影響的受支持版本有:7u171�、8u162和10;javase Embedded:8u161����;JRockit:R28.3.17。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過(guò)多種協(xié)議訪問(wèn)網(wǎng)絡(luò)����,從而危害Java SE、Java SE Embedded����、JRockit。成功攻擊此漏洞會(huì)導(dǎo)致未經(jīng)授權(quán)的能力�����,從而導(dǎo)致Java SE、Java SE Embedded���、JRockit的部分拒絕服務(wù)(部分拒絕服務(wù))。注意:適用于Java的客戶端和服務(wù)器部署���。此漏洞可通過(guò)沙盒Java Web Start應(yīng)用程序和沙盒Java小程序進(jìn)行攻擊��。也可以通過(guò)向指定組件中的api提供數(shù)據(jù)而不使用沙盒javawebstart應(yīng)用程序或沙盒Java applet(例如通過(guò)Web服務(wù))來(lái)攻擊它��。CVSS 3.0基本得分5.3(可用性影響)�。CVSS Vector:(CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)��。
·CVE-2018-2797
描述:Oracle Java SE的Java SE��,Java SE Embedded�,JRockit組件(子組件:JMX)中存在漏洞。受影響的受支持版本有:6u181�����、7u171�、8u162和10;javase Embedded:8u161��;JRockit:R28.3.17。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過(guò)多種協(xié)議訪問(wèn)網(wǎng)絡(luò)����,從而危害Java SE、Java SE Embedded�、JRockit。成功攻擊此漏洞會(huì)導(dǎo)致未經(jīng)授權(quán)的能力����,從而導(dǎo)致Java SE、Java SE Embedded�、JRockit的部分拒絕服務(wù)(部分拒絕服務(wù))。注意:適用于Java的客戶端和服務(wù)器部署���。此漏洞可通過(guò)沙盒Java Web Start應(yīng)用程序和沙盒Java小程序進(jìn)行攻擊����。也可以通過(guò)向指定組件中的api提供數(shù)據(jù)而不使用沙盒javawebstart應(yīng)用程序或沙盒Java applet(例如通過(guò)Web服務(wù))來(lái)攻擊它�。CVSS 3.0基本得分5.3(可用性影響)。CVSS Vector:(CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)����。
·CVE-2018-2798
描述:Oracle Java SE的Java SE,Java SE Embedded�����,JRockit組件(子組件:AWT)中存在漏洞。受影響的受支持版本有:6u181���、7u171��、8u162和10;javase Embedded:8u161��;JRockit:R28.3.17����。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過(guò)多種協(xié)議訪問(wèn)網(wǎng)絡(luò),從而危害Java SE����、Java SE Embedded、JRockit��。成功攻擊此漏洞會(huì)導(dǎo)致未經(jīng)授權(quán)的能力���,從而導(dǎo)致Java SE�����、Java SE Embedded���、JRockit的部分拒絕服務(wù)(部分拒絕服務(wù))�����。注意:適用于Java的客戶端和服務(wù)器部署����。此漏洞可通過(guò)沙盒Java Web Start應(yīng)用程序和沙盒Java小程序進(jìn)行攻擊��。也可以通過(guò)向指定組件中的api提供數(shù)據(jù)而不使用沙盒javawebstart應(yīng)用程序或沙盒Java applet(例如通過(guò)Web服務(wù))來(lái)攻擊它���。CVSS 3.0基本得分5.3(可用性影響)��。CVSS Vector:(CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)���。
·CVE-2018-2799
描述:Oracle Java SE的Java SE、Java SE Embedded���、JRockit組件(子組件:JAXP)中存在漏洞�����。受影響的受支持版本有:7u171��、8u162和10���;javase Embedded:8u161���;JRockit:R28.3.17。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過(guò)多種協(xié)議訪問(wèn)網(wǎng)絡(luò)�����,從而危害Java SE����、Java SE Embedded���、JRockit�。成功攻擊此漏洞會(huì)導(dǎo)致未經(jīng)授權(quán)的能力�,從而導(dǎo)致Java SE、Java SE Embedded��、JRockit的部分拒絕服務(wù)(部分拒絕服務(wù))����。注意:適用于Java的客戶端和服務(wù)器部署�。此漏洞可通過(guò)沙盒Java Web Start應(yīng)用程序和沙盒Java小程序進(jìn)行攻擊����。也可以通過(guò)向指定組件中的api提供數(shù)據(jù)而不使用沙盒javawebstart應(yīng)用程序或沙盒Java applet(例如通過(guò)Web服務(wù))來(lái)攻擊它。CVSS 3.0基本得分5.3(可用性影響)�。CVSS Vector:(CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)。
·CVE-2018-2800
描述:Java SE中的漏洞�����,Oracle Java SE的JRockit組件(子組件:RMI)�����。受影響的受支持版本是javase:6u181�、7u171和8u162;JRockit:R28.3.17����。難以利用的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過(guò)多個(gè)協(xié)議訪問(wèn)網(wǎng)絡(luò),從而危害Java SE���、JRockit���。成功的攻擊需要攻擊者以外的人與人進(jìn)行交互����。成功攻擊此漏洞可導(dǎo)致對(duì)某些Java SE�����、JRockit可訪問(wèn)數(shù)據(jù)的未經(jīng)授權(quán)的更新����、插入或刪除訪問(wèn),以及對(duì)Java SE�、JRockit可訪問(wèn)數(shù)據(jù)的子集的未經(jīng)授權(quán)的讀取訪問(wèn)。注意:只有通過(guò)向指定組件中的API提供數(shù)據(jù)而不使用不受信任的Java Web Start應(yīng)用程序或不受信任的Java小程序(如通過(guò)Web服務(wù))來(lái)攻擊此漏洞����。CVSS 3.0基本得分4.2(機(jī)密性和完整性影響)�����。CVSS Vector:(CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:N)���。
·CVE-2018-2814
描述:Oracle Java SE的Java SE��、Java SE嵌入式組件(子組件:熱點(diǎn))中的漏洞����。受影響的受支持版本是javase:6u181、7u171��、8u162和10��;javase Embedded:8u161����。難以利用的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過(guò)多個(gè)協(xié)議訪問(wèn)網(wǎng)絡(luò),危害Java SE���、Java SE Embedded���。成功的攻擊需要攻擊者以外的人與人交互,雖然漏洞存在于javase中�����,但攻擊可能會(huì)嚴(yán)重影響其他產(chǎn)品�。成功攻擊此漏洞可導(dǎo)致接管Java SE,Java SE Embedded。注意:此漏洞適用于Java部署���,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中���,這些客戶端加載并運(yùn)行不受信任的代碼(例如,來(lái)自internet的代碼)并依賴Java沙盒來(lái)確保安全��。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如�����,由管理員安裝的代碼)的Java部署��,通常在服務(wù)器中�����。CVSS 3.0基本得分8.3(機(jī)密性��、完整性和可用性影響)����。CVSS Vector:(CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H)����。
·CVE-2018-2815
描述:Oracle Java SE的Java SE����、Java SE Embedded���、JRockit組件(子組件:序列化)中存在漏洞��。受影響的受支持版本有:6u181��、7u171�、8u162和10��;javase Embedded:8u161����;JRockit:R28.3.17。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過(guò)多種協(xié)議訪問(wèn)網(wǎng)絡(luò)�����,從而危害Java SE����、Java SE Embedded����、JRockit��。成功攻擊此漏洞會(huì)導(dǎo)致未經(jīng)授權(quán)的能力����,從而導(dǎo)致Java SE、Java SE Embedded���、JRockit的部分拒絕服務(wù)(部分拒絕服務(wù))��。注意:適用于Java的客戶端和服務(wù)器部署�。此漏洞可通過(guò)沙盒Java Web Start應(yīng)用程序和沙盒Java小程序進(jìn)行攻擊�。也可以通過(guò)向指定組件中的api提供數(shù)據(jù)而不使用沙盒javawebstart應(yīng)用程序或沙盒Java applet(例如通過(guò)Web服務(wù))來(lái)攻擊它。CVSS 3.0基本得分5.3(可用性影響)���。CVSS Vector:(CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)����。
·CVE-2018-2952
描述:Oracle Java SE的Java SE���、Java SE Embedded、JRockit組件(子組件:并發(fā))中存在漏洞。受影響的受支持版本有:6u191����、7u181、8u172和10.0.1���;javase Embedded:8u171�;JRockit:R28.3.18��。難以利用的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過(guò)多種協(xié)議訪問(wèn)網(wǎng)絡(luò)�,從而危害Java SE、Java SE Embedded��、JRockit�。成功攻擊此漏洞會(huì)導(dǎo)致未經(jīng)授權(quán)的能力,從而導(dǎo)致Java SE��、Java SE Embedded�、JRockit的部分拒絕服務(wù)(部分拒絕服務(wù))。注意:適用于Java的客戶端和服務(wù)器部署����。此漏洞可通過(guò)沙盒Java Web Start應(yīng)用程序和沙盒Java小程序進(jìn)行攻擊。也可以通過(guò)向指定組件中的api提供數(shù)據(jù)而不使用沙盒javawebstart應(yīng)用程序或沙盒Java applet(例如通過(guò)Web服務(wù))來(lái)攻擊它����。CVSS 3.0基本得分3.7(可用性影響)�。CVSS Vector:(CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L)��。
2.受影響的軟件包
·中標(biāo)麒麟高級(jí)服務(wù)器操作系統(tǒng) V7
·aarch64架構(gòu):
java-1.7.0-openjdk�����、java-1.7.0-openjdk-accessibility����、java-1.7.0-openjdk-demo、java-1.7.0-openjdk-devel����、java-1.7.0-openjdk-headless、java-1.7.0-openjdk-javadoc�、java-1.7.0-openjdk-src
·x86_64架構(gòu):
java-1.7.0-openjdk、java-1.7.0-openjdk-accessibility��、java-1.7.0-openjdk-demo�����、java-1.7.0-openjdk-devel��、java-1.7.0-openjdk-headless、java-1.7.0-openjdk-javadoc���、java-1.7.0-openjdk-src
·銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10
·aarch64架構(gòu):
java-1.7.0-openjdk、java-1.7.0-openjdk-accessibility����、java-1.7.0-openjdk-demo、java-1.7.0-openjdk-devel�����、java-1.7.0-openjdk-headless����、java-1.7.0-openjdk-javadoc、java-1.7.0-openjdk-src
·x86_64架構(gòu):
java-1.7.0-openjdk��、java-1.7.0-openjdk-accessibility�、java-1.7.0-openjdk-demo、java-1.7.0-openjdk-devel���、java-1.7.0-openjdk-headless����、java-1.7.0-openjdk-javadoc、java-1.7.0-openjdk-src
3.軟件包修復(fù)版本
·中標(biāo)麒麟高級(jí)服務(wù)器操作系統(tǒng) V7 (aarch64���、x86_64)
java-1.7.0-openjdk-1.7.0.191-2.6.15.5.el7或以上版本
java-1.7.0-openjdk-accessibility-1.7.0.191-2.6.15.5.el7或以上版本
java-1.7.0-openjdk-demo-1.7.0.191-2.6.15.5.el7或以上版本
java-1.7.0-openjdk-devel-1.7.0.191-2.6.15.5.el7或以上版本
java-1.7.0-openjdk-headless-1.7.0.191-2.6.15.5.el7或以上版本
java-1.7.0-openjdk-javadoc-1.7.0.191-2.6.15.5.el7或以上版本
java-1.7.0-openjdk-src-1.7.0.191-2.6.15.5.el7或以上版本
·銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10 (aarch64�、x86_64)
java-1.7.0-openjdk-1.7.0.191-2.6.15.5.el7或以上版本
java-1.7.0-openjdk-accessibility-1.7.0.191-2.6.15.5.el7或以上版本
java-1.7.0-openjdk-demo-1.7.0.191-2.6.15.5.el7或以上版本
java-1.7.0-openjdk-devel-1.7.0.191-2.6.15.5.el7或以上版本
java-1.7.0-openjdk-headless-1.7.0.191-2.6.15.5.el7或以上版本
java-1.7.0-openjdk-javadoc-1.7.0.191-2.6.15.5.el7或以上版本
java-1.7.0-openjdk-src-1.7.0.191-2.6.15.5.el7或以上版本
4.修復(fù)方法
方法一:配置源進(jìn)行升級(jí)安裝
1.打開(kāi)軟件包源配置文件�����,根據(jù)倉(cāng)庫(kù)地址進(jìn)行修改�����。
倉(cāng)庫(kù)源地址:
中標(biāo)麒麟高級(jí)服務(wù)器操作系統(tǒng) V7
aarch64:https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/aarch64/
x86_64:https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/x86_64/
銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10
aarch64:https://update.cs2c.com.cn/NS/V10/V10-ZJ/os/adv/lic/base/aarch64/
x86_64:https://update.cs2c.com.cn/NS/V10/V10-ZJ/os/adv/lic/base/x86_64/
2.配置完成后執(zhí)行更新命令進(jìn)行升級(jí)�,命令如下:
yum update Packagename
方法二:下載安裝包進(jìn)行升級(jí)安裝
通過(guò)軟件包地址下載軟件包,使用軟件包升級(jí)命令根據(jù)受影響的軟件包
列表進(jìn)行升級(jí)安裝, 命令如下:
yum install Packagename
3.升級(jí)完成后是否需要重啟服務(wù)或操作系統(tǒng):
CVE-2014-3566:需要重啟 java-1.7.0-openjdk 以使漏洞修復(fù)生效����。
CVE-2016-0686:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2016-0687:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�����。
CVE-2016-0695:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�����。
CVE-2016-10165:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2016-3425:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效��。
CVE-2016-3427:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效���。
CVE-2016-3458:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�����。
CVE-2016-3500:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2016-3508:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效����。
CVE-2016-3550:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2016-3598:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效��。
CVE-2016-3606:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效��。
CVE-2016-3610:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效���。
CVE-2016-5542:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效���。
CVE-2016-5546:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2016-5547:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效��。
CVE-2016-5548:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2016-5552:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效���。
CVE-2016-5554:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效����。
CVE-2016-5573:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效��。
CVE-2016-5582:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�����。
CVE-2016-5597:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效���。
CVE-2017-10053:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效��。
CVE-2017-10067:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�����。
CVE-2017-10074:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效��。
CVE-2017-10081:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效��。
CVE-2017-10087:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�。
CVE-2017-10089:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2017-10090:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效��。
CVE-2017-10096:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效����。
CVE-2017-10101:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2017-10102:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�����。
CVE-2017-10107:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效���。
CVE-2017-10108:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2017-10109:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效����。
CVE-2017-10110:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2017-10115:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效���。
CVE-2017-10116:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�����。
CVE-2017-10135:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�。
CVE-2017-10193:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2017-10198:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�����。
CVE-2017-10243:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�����。
CVE-2017-10274:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效���。
CVE-2017-10281:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效��。
CVE-2017-10285:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�����。
CVE-2017-10295:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效����。
CVE-2017-10345:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效����。
CVE-2017-10346:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效����。
CVE-2017-10347:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�����。
CVE-2017-10348:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�。
CVE-2017-10349:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2017-10350:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�。
CVE-2017-10355:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2017-10356:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效���。
CVE-2017-10357:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�。
CVE-2017-10388:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�����。
CVE-2017-3231:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效����。
CVE-2017-3241:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�����。
CVE-2017-3252:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2017-3253:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�。
CVE-2017-3261:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2017-3272:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效����。
CVE-2017-3289:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2017-3509:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�。
CVE-2017-3511:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2017-3526:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效���。
CVE-2017-3533:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效����。
CVE-2017-3539:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�����。
CVE-2017-3544:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效��。
CVE-2018-2579:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效��。
CVE-2018-2588:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效����。
CVE-2018-2599:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效���。
CVE-2018-2602:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2018-2603:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�����。
CVE-2018-2618:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�����。
CVE-2018-2629:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效���。
CVE-2018-2633:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效���。
CVE-2018-2634:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2018-2637:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效��。
CVE-2018-2641:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�。
CVE-2018-2663:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2018-2677:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�����。
CVE-2018-2678:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效����。
CVE-2018-2790:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2018-2794:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�����。
CVE-2018-2795:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�����。
CVE-2018-2796:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效��。
CVE-2018-2797:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效����。
CVE-2018-2798:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2018-2799:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效����。
CVE-2018-2800:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2018-2814:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�。
CVE-2018-2815:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2018-2952:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�。
5.軟件包下載地址
·中標(biāo)麒麟高級(jí)服務(wù)器操作系統(tǒng) V7
java-1.7.0-op
