公告ID(KYSA-202104-1419)
公告ID:KYSA-202104-1419
公告摘要:java-1.8.0-openjdk安全漏洞
等級:Critical
發(fā)布日期:2021-04-08
詳細(xì)介紹
1.修復(fù)的CVE
·CVE-2016-0686
描述:Oracle Java SE 6u113、7u99和8u77以及Java SE Embedded 8u77中存在未明漏洞����,遠(yuǎn)程攻擊者可借助與序列化相關(guān)的向量影響機(jī)密性、完整性和可用性���。
·CVE-2016-0687
描述:Oracle Java SE 6u113���、7u99和8u77以及Java SE Embedded 8u77中存在未明漏洞���,遠(yuǎn)程攻擊者可借助與熱點(diǎn)子組件相關(guān)的向量影響機(jī)密性、完整性和可用性���。
·CVE-2016-0695
描述:發(fā)現(xiàn)OpenJDK中的安全組件在生成DSA簽名時未能檢查摘要算法的強(qiáng)度����。使用弱于密鑰強(qiáng)度的摘要可能會導(dǎo)致生成比預(yù)期弱的簽名�。
·CVE-2016-10165
描述:Little CMS(aka lcms2)中cmstypes.c中的Type_MLU_Read函數(shù)允許遠(yuǎn)程攻擊者通過一個特制的ICC配置文件的圖像獲取敏感信息或引起拒絕服務(wù),從而觸發(fā)超出邊界的堆讀取��。
·CVE-2016-3425
描述:我們發(fā)現(xiàn)OpenJDK中的JAXP組件未能正確處理作為XML屬性值一部分使用的Unicode代理項(xiàng)對�。特別構(gòu)建的XML輸入可能會導(dǎo)致Java應(yīng)用程序在解析時使用過多的內(nèi)存。
·CVE-2016-3427
描述:Oracle Java SE等都是美國甲骨文(Oracle)公司的產(chǎn)品���。Oracle Java SE是一款用于開發(fā)和部署桌面����、服務(wù)器以及嵌入設(shè)備和實(shí)時環(huán)境中的Java應(yīng)用程序。Oracle Java SE Embedded是一款針對嵌入式系統(tǒng)的��、可移植的應(yīng)用程序的Java平臺��。Oracle Jrockit是一款內(nèi)置于Oracle融合中間件中的Java虛擬機(jī)����。Oracle Java SE、Java SE Embedded和JRockit中的JMX子組件存在安全漏洞����。遠(yuǎn)程攻擊者可利用該漏洞控制組件,影響數(shù)據(jù)的保密性���,完整性及可用性��。以下版本受到影響:Oracle Java SE 6u113版本�,7u99版本�,8u77版本,Java SE Embedded 8u77版本����,Jrockit R28.3.9版本。
·CVE-2016-3458
描述:Oracle Java SE 6u115���、7u101和8u92�����;以及Java SE Embedded 8u91中存在未明漏洞�����,遠(yuǎn)程攻擊者可借助與CORBA相關(guān)的向量影響完整性�。
·CVE-2016-3500
描述:Oracle Java SE 6u115�����、7u101和8u92���;Java SE Embedded 8u91����;和JRockit R28.3.10中的未指明漏洞允許遠(yuǎn)程攻擊者通過與JAXP相關(guān)的向量來影響可用性��,這是一個與CVE-2016-3508不同的漏洞��。
·CVE-2016-3508
描述:Oracle Java SE 6u115����、7u101和8u92�����;Java SE Embedded 8u91��;和JRockit R28.3.10中的未指明漏洞允許遠(yuǎn)程攻擊者通過與JAXP相關(guān)的向量來影響可用性��,這是一個與CVE-2016-3500不同的漏洞�。
·CVE-2016-3550
描述:Oracle Java SE 6u115���、7u101和8u92以及Java SE Embedded 8u91中存在未明漏洞��,遠(yuǎn)程攻擊者可借助與熱點(diǎn)相關(guān)的向量影響機(jī)密性��。
·CVE-2016-3606
描述:Oracle Java SE 7u101和8u92以及Java SE Embedded 8u91中存在未明漏洞����,遠(yuǎn)程攻擊者可借助與熱點(diǎn)相關(guān)的向量影響機(jī)密性���、完整性和可用性�����。
·CVE-2016-5542
描述:我們發(fā)現(xiàn)OpenJDK的Libraries組件沒有限制用于JAR完整性驗(yàn)證的算法集�。此漏洞允許攻擊者修改使用弱簽名密鑰或哈希算法的JAR文件的內(nèi)容。
·CVE-2016-5546
描述:我們發(fā)現(xiàn)OpenJDK的Libraries組件使用非規(guī)范的DER編碼接受ECDSA簽名���。這可能導(dǎo)致Java應(yīng)用程序以其他加密工具無法接受的錯誤格式接受簽名�。
·CVE-2016-5547
描述:我們發(fā)現(xiàn)OpenJDK的Libraries組件在分配內(nèi)存來存儲OID之前沒有驗(yàn)證從DER輸入讀取的對象標(biāo)識符的長度�。攻擊者能夠使Java應(yīng)用程序解碼巧盡心思構(gòu)建的DER輸入���,可能會導(dǎo)致應(yīng)用程序消耗過多內(nèi)存�����。
·CVE-2016-5548
描述:在OpenJDK的Libraries組件的DSA實(shí)現(xiàn)中發(fā)現(xiàn)了一個隱蔽的定時通道缺陷����。遠(yuǎn)程攻擊者可能利用此漏洞通過定時側(cè)通道提取有關(guān)所用密鑰的特定信息�����。
·CVE-2016-5552
描述:我們發(fā)現(xiàn)OpenJDK的網(wǎng)絡(luò)組件無法正確解析URL中的用戶信息�。遠(yuǎn)程攻擊者可能會導(dǎo)致Java應(yīng)用程序錯誤地解析攻擊者提供的URL,并以與處理同一URL的其他應(yīng)用程序不同的方式對其進(jìn)行解釋��。
·CVE-2016-5554
描述:在OpenJDK的JMX組件處理類加載器的方式中發(fā)現(xiàn)了一個缺陷。不受信任的Java應(yīng)用程序或小程序可以利用此缺陷繞過某些Java沙盒限制�����。
·CVE-2016-5573
描述:我們發(fā)現(xiàn)OpenJDK的熱點(diǎn)組件沒有正確檢查接收到的Java調(diào)試線協(xié)議(JDWP)包����。如果攻擊者能夠使受害者的瀏覽器向調(diào)試應(yīng)用程序的JDWP端口發(fā)送HTTP請求,則攻擊者可能會利用此漏洞向運(yùn)行調(diào)試的Java程序發(fā)送調(diào)試命令����。
·CVE-2016-5582
描述:我們發(fā)現(xiàn)OpenJDK的熱點(diǎn)組件沒有正確檢查系統(tǒng)陣列復(fù)制()在某些情況下起作用。不受信任的Java應(yīng)用程序或小程序可以利用此漏洞破壞虛擬機(jī)的內(nèi)存��,并完全繞過Java沙盒限制���。
·CVE-2016-5597
描述:在OpenJDK的網(wǎng)絡(luò)組件處理HTTP代理身份驗(yàn)證的方式中發(fā)現(xiàn)了一個缺陷���。如果代理請求身份驗(yàn)證,Java應(yīng)用程序可能會通過純文本網(wǎng)絡(luò)連接到HTTP代理來公開HTTPS服務(wù)器身份驗(yàn)證憑據(jù)����。
·CVE-2017-10053
描述:我們發(fā)現(xiàn)OpenJDK的2D組件中的JPEGImageReader實(shí)現(xiàn)在某些情況下會讀取所有圖像數(shù)據(jù),即使以后不使用它���。巧盡心思構(gòu)建的映像可能會導(dǎo)致Java應(yīng)用程序臨時使用過多的CPU和內(nèi)存��。
·CVE-2017-10067
描述:Oracle Java SE的Java SE組件中存在漏洞(子組件:安全性)�。受影響的受支持版本是javase:6u151、7u141和8u131�。難以利用的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過多個協(xié)議訪問網(wǎng)絡(luò),從而危害Java SE�。成功的攻擊需要攻擊者以外的人與人進(jìn)行交互。成功攻擊此漏洞可導(dǎo)致接管Java SE��。注意:此漏洞適用于Java部署�,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中��,這些客戶端加載并運(yùn)行不受信任的代碼(例如�����,來自internet的代碼)并依賴Java沙盒來確保安全�����。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如����,由管理員安裝的代碼)的Java部署����,通常在服務(wù)器中��。CVSS 3.0基本得分7.5(機(jī)密性�、完整性和可用性影響)。CVSS矢量:(CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H)�����。
·CVE-2017-10074
描述:Oracle Java SE的Java SE�����、Java SE嵌入式組件(子組件:熱點(diǎn))中的漏洞��。受影響的受支持版本是javase:6u151��、7u141和8u131����;javase Embedded:8u131。難以利用的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過多個協(xié)議訪問網(wǎng)絡(luò)���,危害Java SE���、Java SE Embedded��。成功的攻擊需要攻擊者以外的人與人交互�����,雖然漏洞存在于javase中��,但攻擊可能會嚴(yán)重影響其他產(chǎn)品����。成功攻擊此漏洞可導(dǎo)致接管Java SE���,Java SE Embedded。注意:此漏洞適用于Java部署����,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中,這些客戶端加載并運(yùn)行不受信任的代碼(例如����,來自internet的代碼)并依賴Java沙盒來確保安全。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如,由管理員安裝的代碼)的Java部署�����,通常在服務(wù)器中����。CVSS 3.0基本得分8.3(機(jī)密性、完整性和可用性影響)����。CVSS矢量:(CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H)。
·CVE-2017-10081
描述:Oracle Java SE的Java SE�����、Java SE嵌入式組件(子組件:熱點(diǎn))中的漏洞���。受影響的受支持版本是javase:6u151�����、7u141和8u131����;javase Embedded:8u131。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過多個協(xié)議訪問網(wǎng)絡(luò)���,從而危害Java SE����、Java SE Embedded�����。成功的攻擊需要攻擊者以外的人與人進(jìn)行交互�。成功攻擊此漏洞可導(dǎo)致未經(jīng)授權(quán)更新、插入或刪除對Java SE�����、Java SE嵌入的可訪問數(shù)據(jù)的訪問���。注意:此漏洞適用于Java部署���,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中���,這些客戶端加載并運(yùn)行不受信任的代碼(例如�����,來自internet的代碼)并依賴Java沙盒來確保安全�。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如,由管理員安裝的代碼)的Java部署�,通常在服務(wù)器中。CVSS 3.0基本得分4.3(完整性影響)�。CVSS矢量:(CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N)。
·CVE-2017-10087
描述:Oracle Java SE的Java SE�����、Java SE嵌入式組件(子組件:庫)中存在漏洞�����。受影響的受支持版本是javase:6u151��、7u141和8u131����;javase Embedded:8u131。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過多個協(xié)議訪問網(wǎng)絡(luò)��,從而危害Java SE�����、Java SE Embedded。成功的攻擊需要攻擊者以外的人與人交互�,雖然漏洞存在于javase中,但攻擊可能會嚴(yán)重影響其他產(chǎn)品�。成功攻擊此漏洞可導(dǎo)致接管Java SE,Java SE Embedded�����。注意:此漏洞適用于Java部署���,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中�����,這些客戶端加載并運(yùn)行不受信任的代碼(例如���,來自internet的代碼)并依賴Java沙盒來確保安全。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如��,由管理員安裝的代碼)的Java部署��,通常在服務(wù)器中���。CVSS 3.0基本得分9.6(機(jī)密性��、完整性和可用性影響)��。CVSS矢量:(CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H)�����。
·CVE-2017-10089
描述:Oracle Java SE的Java SE組件(子組件:ImageIO)中存在漏洞��。受影響的受支持版本是javase:6u151�����、7u141和8u131�����。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過多個協(xié)議訪問網(wǎng)絡(luò)�,從而危害Java SE���。成功的攻擊需要攻擊者以外的人與人交互�,雖然漏洞存在于Java SE中��,但攻擊可能會嚴(yán)重影響其他產(chǎn)品。成功攻擊此漏洞可導(dǎo)致接管Java SE��。注意:此漏洞適用于Java部署�����,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中�,這些客戶端加載并運(yùn)行不受信任的代碼(例如,來自internet的代碼)并依賴Java沙盒來確保安全�。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如,由管理員安裝的代碼)的Java部署�����,通常在服務(wù)器中���。CVSS 3.0基本得分9.6(機(jī)密性�����、完整性和可用性影響)����。CVSS矢量:(CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H)���。
·CVE-2017-10090
描述:Oracle Java SE的Java SE����、Java SE嵌入式組件(子組件:庫)中存在漏洞����。受影響的受支持版本是javase:7u141和8u131;javase Embedded:8u131�����。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過多個協(xié)議訪問網(wǎng)絡(luò)��,從而危害Java SE�����、Java SE Embedded�����。成功的攻擊需要攻擊者以外的人與人交互����,雖然漏洞存在于javase中���,但攻擊可能會嚴(yán)重影響其他產(chǎn)品。成功攻擊此漏洞可導(dǎo)致接管Java SE�����,Java SE Embedded�����。注意:此漏洞適用于Java部署�,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中,這些客戶端加載并運(yùn)行不受信任的代碼(例如��,來自internet的代碼)并依賴Java沙盒來確保安全���。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如���,由管理員安裝的代碼)的Java部署,通常在服務(wù)器中����。CVSS 3.0基本得分9.6(機(jī)密性、完整性和可用性影響)。CVSS矢量:(CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H)�����。
·CVE-2017-10096
描述:Oracle Java SE的Java SE�、Java SE嵌入式組件(子組件:JAXP)中存在漏洞。受影響的受支持版本是javase:6u151��、7u141和8u131��;javase Embedded:8u131����。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過多個協(xié)議訪問網(wǎng)絡(luò)�,從而危害Java SE、Java SE Embedded�。成功的攻擊需要攻擊者以外的人與人交互,雖然漏洞存在于javase中��,但攻擊可能會嚴(yán)重影響其他產(chǎn)品�����。成功攻擊此漏洞可導(dǎo)致接管Java SE��,Java SE Embedded。注意:此漏洞適用于Java部署�,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中,這些客戶端加載并運(yùn)行不受信任的代碼(例如�����,來自internet的代碼)并依賴Java沙盒來確保安全����。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如,由管理員安裝的代碼)的Java部署��,通常在服務(wù)器中�。CVSS 3.0基本得分9.6(機(jī)密性、完整性和可用性影響)�。CVSS矢量:(CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H)。
·CVE-2017-10101
描述:Oracle Java SE的Java SE����、Java SE嵌入式組件(子組件:JAXP)中存在漏洞。受影響的受支持版本是javase:6u151����、7u141和8u131;javase Embedded:8u131���。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過多個協(xié)議訪問網(wǎng)絡(luò)�,從而危害Java SE、Java SE Embedded����。成功的攻擊需要攻擊者以外的人與人交互,雖然漏洞存在于javase中��,但攻擊可能會嚴(yán)重影響其他產(chǎn)品���。成功攻擊此漏洞可導(dǎo)致接管Java SE����,Java SE Embedded�。注意:此漏洞適用于Java部署���,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中�,這些客戶端加載并運(yùn)行不受信任的代碼(例如����,來自internet的代碼)并依賴Java沙盒來確保安全。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如���,由管理員安裝的代碼)的Java部署���,通常在服務(wù)器中�����。CVSS 3.0基本得分9.6(機(jī)密性�、完整性和可用性影響)�����。CVSS矢量:(CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H)����。
·CVE-2017-10102
描述:我們發(fā)現(xiàn)OpenJDK的RMI組件中的DCG實(shí)現(xiàn)無法正確處理引用。遠(yuǎn)程攻擊者可能利用此漏洞以RMI注冊表或Java RMI應(yīng)用程序的權(quán)限執(zhí)行任意代碼�。
·CVE-2017-10107
描述:Oracle Java SE的Java SE、Java SE嵌入式組件(子組件:RMI)中存在漏洞����。受影響的受支持版本是javase:6u151、7u141和8u131��;javase EmbedAded:8u131�����。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過多個協(xié)議訪問網(wǎng)絡(luò),從而危害Java SE���、Java SE Embedded���。成功的攻擊需要攻擊者以外的人與人交互,雖然漏洞存在于javase中�����,但攻擊可能會嚴(yán)重影響其他產(chǎn)品����。成功攻擊此漏洞可導(dǎo)致接管Java SE,Java SE Embedded��。注意:此漏洞適用于Java部署���,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中,這些客戶端加載并運(yùn)行不受信任的代碼(例如��,來自internet的代碼)并依賴Java沙盒來確保安全���。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如�,由管理員安裝的代碼)的Java部署,通常在服務(wù)器中��。CVSS 3.0基本得分9.6(機(jī)密性���、完整性和可用性影響)�����。CVSS矢量:(CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H)�。
·CVE-2017-10108
描述:Oracle Java SE的Java SE����、Java SE Embedded、JRockit組件(子組件:序列化)中存在漏洞����。受影響的受支持版本是javase:6u151、7u141和8u131�;javase Embedded:8u131;JRockit:R28.3.14�����。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過多種協(xié)議訪問網(wǎng)絡(luò),從而危害Java SE����、Java SE Embedded、JRockit����。成功攻擊此漏洞會導(dǎo)致未經(jīng)授權(quán)的能力,從而導(dǎo)致Java SE����、Java SE Embedded、JRockit的部分拒絕服務(wù)(部分拒絕服務(wù))����。注意:此漏洞可通過沙盒Java Web Start應(yīng)用程序和沙盒Java小程序進(jìn)行攻擊。也可以通過向指定組件中的api提供數(shù)據(jù)而不使用沙盒javawebstart應(yīng)用程序或沙盒Java applet(例如通過Web服務(wù))來攻擊它��。CVSS 3.0基本得分5.3(可用性影響)����。CVSS矢量:(CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)�。
·CVE-2017-10109
描述:Oracle Java SE的Java SE、Java SE Embedded��、JRockit組件(子組件:序列化)中存在漏洞。受影響的受支持版本是javase:6u151��、7u141和8u131�����;javase Embedded:8u131��;JRockit:R28.3.14���。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過多種協(xié)議訪問網(wǎng)絡(luò)�,從而危害Java SE��、Java SE Embedded���、JRockit�。成功攻擊此漏洞會導(dǎo)致未經(jīng)授權(quán)的能力�,從而導(dǎo)致Java SE、Java SE Embedded�����、JRockit的部分拒絕服務(wù)(部分拒絕服務(wù))�����。注意:此漏洞適用于Java部署,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中����,這些客戶端加載并運(yùn)行不受信任的代碼(例如,來自internet的代碼)并依賴Java沙盒來確保安全�。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如,由管理員安裝的代碼)的Java部署��,通常在服務(wù)器中���。CVSS 3.0基本得分5.3(可用性影響)���。CVSS矢量:(CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)。
·CVE-2017-10110
描述:Oracle Java SE的Java SE組件(子組件:AWT)中存在漏洞�����。受影響的受支持版本是javase:6u151�、7u141和8u131。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過多個協(xié)議訪問網(wǎng)絡(luò)�����,從而危害Java SE�。成功的攻擊需要攻擊者以外的人與人交互,雖然漏洞存在于Java SE中����,但攻擊可能會嚴(yán)重影響其他產(chǎn)品。成功攻擊此漏洞可導(dǎo)致接管Java SE����。注意:此漏洞適用于Java部署,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中����,這些客戶端加載并運(yùn)行不受信任的代碼(例如,來自internet的代碼)并依賴Java沙盒來確保安全��。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如��,由管理員安裝的代碼)的Java部署�����,通常在服務(wù)器中�����。CVSS 3.0基本得分9.6(機(jī)密性、完整性和可用性影響)����。CVSS矢量:(CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H)。
·CVE-2017-10115
描述:在OpenJDK的JCE組件的DSA實(shí)現(xiàn)中發(fā)現(xiàn)了一個隱蔽的定時通道缺陷���。能夠使Java應(yīng)用程序按需生成DSA簽名的遠(yuǎn)程攻擊者可能利用此漏洞通過定時側(cè)通道提取有關(guān)所用密鑰的特定信息��。
·CVE-2017-10116
描述:我們發(fā)現(xiàn)OpenJDK的安全組件中的LDAPCertStore類遵循LDAP對任意url的引用�����。巧盡心思構(gòu)建的LDAP引用URL可能會導(dǎo)致LDAPCertStore與非LDAP服務(wù)器通信��。
·CVE-2017-10135
描述:OpenJDK的JCE組件中的PKCS#8實(shí)現(xiàn)中發(fā)現(xiàn)了一個隱蔽的定時通道缺陷�����。能夠使Java應(yīng)用程序反復(fù)將PKCS#8密鑰與攻擊者控制的值進(jìn)行比較的遠(yuǎn)程攻擊者可能利用此漏洞通過定時側(cè)通道確定密鑰�。
·CVE-2017-10193
描述:Oracle Java SE的Java SE�、Java SE嵌入式組件(子組件:安全性)中的漏洞。受影響的受支持版本是javase:6u151���、7u141和8u131���;javase Embedded:8u131�。難以利用的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過多個協(xié)議訪問網(wǎng)絡(luò)�,危害Java SE�����、Java SE Embedded����。成功的攻擊需要攻擊者以外的人與人進(jìn)行交互。成功攻擊此漏洞可導(dǎo)致對Java SE���、Java SE嵌入式可訪問數(shù)據(jù)的子集進(jìn)行未經(jīng)授權(quán)的讀取訪問�。注意:此漏洞適用于Java部署���,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中���,這些客戶端加載并運(yùn)行不受信任的代碼(例如,來自internet的代碼)并依賴Java沙盒來確保安全���。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如����,由管理員安裝的代碼)的Java部署,通常在服務(wù)器中��。CVSS 3.0基本得分3.1(保密影響)����。CVSS矢量:(CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N)。
·CVE-2017-10198
描述:我們發(fā)現(xiàn)OpenJDK的安全組件可能無法正確執(zhí)行為處理X.509證書鏈而定義的限制����。遠(yuǎn)程攻擊者可能利用此漏洞使Java接受使用禁用算法之一的證書。
·CVE-2017-10243
描述:我們發(fā)現(xiàn)OpenJDK的JAX-WS組件中的wsdlimport工具在解析WSDL-XML文檔時沒有使用安全的XML解析器設(shè)置�。巧盡心思構(gòu)建的WSDL文檔可能會導(dǎo)致wsdlimport使用過多的CPU和內(nèi)存、打開與其他主機(jī)的連接或泄漏信息���。
·CVE-2017-10274
描述:Oracle Java SE的Java SE組件(子組件:智能卡IO)中存在漏洞�。受影響的受支持版本是javase:6u161����、7u151、8u144和9����。難以利用的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過多個協(xié)議訪問網(wǎng)絡(luò)�,從而危害Java SE�����。成功的攻擊需要攻擊者以外的人與人進(jìn)行交互�。成功攻擊此漏洞可導(dǎo)致未經(jīng)授權(quán)創(chuàng)建、刪除或修改關(guān)鍵數(shù)據(jù)或所有Java SE可訪問數(shù)據(jù)�����,以及未經(jīng)授權(quán)訪問關(guān)鍵數(shù)據(jù)或完全訪問所有Java SE可訪問數(shù)據(jù)��。注意:此漏洞適用于Java部署����,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中����,這些客戶端加載并運(yùn)行不受信任的代碼(例如,來自internet的代碼)并依賴Java沙盒來確保安全���。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如�,由管理員安裝的代碼)的Java部署,通常在服務(wù)器中�����。CVSS 3.0基本得分6.8(機(jī)密性和完整性影響)�。CVSS矢量:(CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:N)。
·CVE-2017-10281
描述:Oracle Java SE的Java SE��、Java SE Embedded���、JRockit組件(子組件:序列化)中存在漏洞��。受影響的受支持版本是javase:6u161���、7u151、8u144和9��;javase Embedded:8u144�;JRockit:R28.3.15。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過多種協(xié)議訪問網(wǎng)絡(luò)����,從而危害Java SE、Java SE Embedded���、JRockit�。成功攻擊此漏洞會導(dǎo)致未經(jīng)授權(quán)的能力,從而導(dǎo)致Java SE�����、Java SE Embedded�、JRockit的部分拒絕服務(wù)(部分拒絕服務(wù))。注意:此漏洞可通過沙盒Java Web Start應(yīng)用程序和沙盒Java小程序進(jìn)行攻擊��。也可以通過向指定組件中的api提供數(shù)據(jù)而不使用沙盒javawebstart應(yīng)用程序或沙盒Java applet(例如通過Web服務(wù))來攻擊它�����。CVSS 3.0基本得分5.3(可用性影響)�。CVSS矢量:(CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)����。
·CVE-2017-10285
描述:Oracle Java SE的Java SE、Java SE嵌入式組件(子組件:RMI)中存在漏洞��。受影響的受支持版本是javase:6u161���、7u151�、8u144和9;javase Embedded:8u144�����。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過多個協(xié)議訪問網(wǎng)絡(luò)�����,從而危害Java SE�����、Java SE Embedded�����。成功的攻擊需要攻擊者以外的人與人交互����,雖然漏洞存在于javase中,但攻擊可能會嚴(yán)重影響其他產(chǎn)品��。成功攻擊此漏洞可導(dǎo)致接管Java SE�,Java SE Embedded。注意:此漏洞適用于Java部署,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中�,這些客戶端加載并運(yùn)行不受信任的代碼(例如,來自internet的代碼)并依賴Java沙盒來確保安全�����。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如�����,由管理員安裝的代碼)的Java部署��,通常在服務(wù)器中�����。CVSS 3.0基本得分9.6(機(jī)密性����、完整性和可用性影響)��。CVSS矢量:(CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H)��。
·CVE-2017-10295
描述:發(fā)現(xiàn)OpenJDK的網(wǎng)絡(luò)組件中的HttpURLConnection和HttpsURLConnection類無法檢查url中嵌入的換行字符�。如果攻擊者能夠使用攻擊者提供的URL使Java應(yīng)用程序執(zhí)行HTTP請求,則可能會向請求中注入額外的標(biāo)頭�����。
·CVE-2017-10345
描述:Oracle Java SE的Java SE、Java SE Embedded���、JRockit組件(子組件:序列化)中存在漏洞�。受影響的受支持版本是javase:6u161���、7u151���、8u144和9;javase Embedded:8u144��;JRockit:R28.3.15���。難以利用的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過多種協(xié)議訪問網(wǎng)絡(luò)��,從而危害Java SE���、Java SE Embedded、JRockit���。成功的攻擊需要攻擊者以外的人與人進(jìn)行交互���。成功攻擊此漏洞會導(dǎo)致未經(jīng)授權(quán)的能力���,從而導(dǎo)致Java SE、Java SE Embedded���、JRockit的部分拒絕服務(wù)(部分拒絕服務(wù))�。注意:此漏洞可通過沙盒Java Web Start應(yīng)用程序和沙盒Java小程序進(jìn)行攻擊�。也可以通過向指定組件中的api提供數(shù)據(jù)而不使用沙盒javawebstart應(yīng)用程序或沙盒Java applet(例如通過Web服務(wù))來攻擊它。CVSS 3.0基本得分3.1(可用性影響)�����。CVSS矢量:(CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:N/A:L)�����。
·CVE-2017-10346
描述:Oracle Java SE的Java SE�、Java SE嵌入式組件(子組件:熱點(diǎn))中的漏洞。受影響的受支持版本是javase:6u161�����、7u151����、8u144和9;javase Embedded:8u144�����。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過多個協(xié)議訪問網(wǎng)絡(luò)��,從而危害Java SE�����、Java SE Embedded����。成功的攻擊需要攻擊者以外的人與人交互,雖然漏洞存在于javase中���,但攻擊可能會嚴(yán)重影響其他產(chǎn)品���。成功攻擊此漏洞可導(dǎo)致接管Java SE,Java SE Embedded��。注意:此漏洞適用于Java部署,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中�����,這些客戶端加載并運(yùn)行不受信任的代碼(例如���,來自internet的代碼)并依賴Java沙盒來確保安全��。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如�,由管理員安裝的代碼)的Java部署��,通常在服務(wù)器中��。CVSS 3.0基本得分9.6(機(jī)密性�����、完整性和可用性影響)���。CVSS矢量:(CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H)�。
·CVE-2017-10347
描述:Oracle Java SE的JRockit組件(子組件:序列化)中的漏洞���。受影響的受支持版本是javase:6u161�����、7u151���、8u144和9;javase Embedded:8u144����。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過多種協(xié)議訪問網(wǎng)絡(luò),從而危害Java SE����、JRockit。成功攻擊此漏洞會導(dǎo)致未經(jīng)授權(quán)的能力���,從而導(dǎo)致Java SE JRockit的部分拒絕服務(wù)(部分拒絕服務(wù))��。注意:此漏洞適用于Java部署�����,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中�,這些客戶端加載并運(yùn)行不受信任的代碼(例如���,來自internet的代碼)并依賴Java沙盒來確保安全�。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如,由管理員安裝的代碼)的Java部署���,通常在服務(wù)器中��。CVSS 3.0基本得分5.3(可用性影響)����。CVSS矢量:(CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)��。
·CVE-2017-10348
描述:Oracle Java SE的Java SE����、Java SE嵌入式組件(子組件:庫)中存在漏洞。受影響的受支持版本是javase:6u161��、7u151��、8u144和9���;javase Embedded:8u144��。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過多個協(xié)議訪問網(wǎng)絡(luò)��,從而危害Java SE�����、Java SE Embedded���。成功攻擊此漏洞可導(dǎo)致未經(jīng)授權(quán)的能力,從而導(dǎo)致Java SE��、Java SE Embedded的部分拒絕服務(wù)(部分DOS)�。注意:此漏洞適用于Java部署,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中�,這些客戶端加載并運(yùn)行不受信任的代碼(例如,來自internet的代碼)并依賴Java沙盒來確保安全�����。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如��,由管理員安裝的代碼)的Java部署��,通常在服務(wù)器中��。CVSS 3.0基本得分5.3(可用性影響)����。CVSS矢量:(CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)�。
·CVE-2017-10349
描述:Oracle Java SE的Java SE����、Java SE嵌入式組件(子組件:JAXP)中存在漏洞。受影響的受支持版本是javase:6u161�、7u151、8u144和9��;javase Embedded:8u144�����。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過多個協(xié)議訪問網(wǎng)絡(luò)�,從而危害Java SE、Java SE Embedded���。成功攻擊此漏洞可導(dǎo)致未經(jīng)授權(quán)的能力�,從而導(dǎo)致Java SE�����、Java SE Embedded的部分拒絕服務(wù)(部分DOS)。注意:此漏洞適用于Java部署�����,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中����,這些客戶端加載并運(yùn)行不受信任的代碼(例如,來自internet的代碼)并依賴Java沙盒來確保安全�。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如,由管理員安裝的代碼)的Java部署�����,通常在服務(wù)器中��。CVSS 3.0基本得分5.3(可用性影響)���。CVSS矢量:(CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)。
·CVE-2017-10350
描述:Oracle Java SE的Java SE����、Java SE嵌入式組件(子組件:JAX-WS)中存在漏洞。受影響的受支持版本是javase:7u151���、8u144和9��;javase Embedded:8u144���。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過多個協(xié)議訪問網(wǎng)絡(luò)���,從而危害Java SE、Java SE Embedded���。成功攻擊此漏洞可導(dǎo)致未經(jīng)授權(quán)的能力��,從而導(dǎo)致Java SE����、Java SE Embedded的部分拒絕服務(wù)(部分DOS)���。注意:此漏洞適用于Java部署�����,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中��,這些客戶端加載并運(yùn)行不受信任的代碼(例如��,來自internet的代碼)并依賴Java沙盒來確保安全�����。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如���,由管理員安裝的代碼)的Java部署�����,通常在服務(wù)器中�����。CVSS 3.0基本得分5.3(可用性影響)��。CVSS矢量:(CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)。
·CVE-2017-10355
描述:我們發(fā)現(xiàn)OpenJDK的Networking組件中的FtpClient實(shí)現(xiàn)在默認(rèn)情況下沒有設(shè)置connect和read超時���。惡意FTP服務(wù)器或中間人攻擊者可以利用此漏洞阻止連接到FTP服務(wù)器的Java應(yīng)用程序的執(zhí)行����。
·CVE-2017-10356
描述:我們發(fā)現(xiàn)OpenJDK的安全組件生成了基于弱密碼的加密密鑰�,用于保護(hù)存儲在密鑰庫中的私鑰。這使得在攻擊者能夠訪問密鑰存儲時,更容易執(zhí)行密碼猜測攻擊來解密存儲的密鑰�。
·CVE-2017-10357
描述:Oracle Java SE的Java SE、Java SE嵌入組件(子組件:序列化)中存在漏洞��。受影響的受支持版本是javase:6u161�����、7u151��、8u144和9��;javase Embedded:8u144��。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過多個協(xié)議訪問網(wǎng)絡(luò)�,從而危害Java SE、Java SE Embedded��。成功攻擊此漏洞可導(dǎo)致未經(jīng)授權(quán)的能力����,從而導(dǎo)致Java SE、Java SE Embedded的部分拒絕服務(wù)(部分DOS)�����。注意:此漏洞適用于Java部署,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中��,這些客戶端加載并運(yùn)行不受信任的代碼(例如�,來自internet的代碼)并依賴Java沙盒來確保安全。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如����,由管理員安裝的代碼)的Java部署,通常在服務(wù)器中�����。CVSS 3.0基本得分5.3(可用性影響)�。CVSS矢量:(CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)。
·CVE-2017-10388
描述:我們發(fā)現(xiàn)OpenJDK的Libraries組件中的Kerberos客戶機(jī)實(shí)現(xiàn)使用了來自純文本部分的sname字段��,而不是KDC應(yīng)答消息的加密部分���。中間人攻擊者可能會利用此漏洞將Kerberos服務(wù)模擬到充當(dāng)Kerberos客戶端的Java應(yīng)用程序中��。
·CVE-2017-3231
描述:Oracle Java SE的Java SE、Java SE嵌入式組件(子組件:網(wǎng)絡(luò))中存在漏洞�。受影響的受支持版本是javase:6u131、7u121和8u112����;javase Embedded:8u111���。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過多個協(xié)議訪問網(wǎng)絡(luò),從而危害Java SE�����、Java SE Embedded��。成功的攻擊需要攻擊者以外的人與人進(jìn)行交互��。成功攻擊此漏洞可導(dǎo)致對Java SE�����、Java SE嵌入式可訪問數(shù)據(jù)的子集進(jìn)行未經(jīng)授權(quán)的讀取訪問����。注意:此漏洞適用于Java部署,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中��,這些客戶端加載并運(yùn)行不受信任的代碼(例如���,來自internet的代碼)并依賴Java沙盒來確保安全��。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如�,由管理員安裝的代碼)的Java部署,通常在服務(wù)器中�����。CVSS v3.0基本得分4.3(機(jī)密性影響)�����。
·CVE-2017-3241
描述:OpenJDK的RMI組件中的RMI注冊中心和DCG實(shí)現(xiàn)執(zhí)行了不可信輸入的反序列化����。遠(yuǎn)程攻擊者可能利用此漏洞以RMI注冊表或Java RMI應(yīng)用程序的權(quán)限執(zhí)行任意代碼。
·CVE-2017-3252
描述:我們發(fā)現(xiàn)OpenJDK的JAAS組件沒有使用正確的方法從用戶搜索LDAP查詢的結(jié)果中提取用戶DN�。巧盡心思構(gòu)建的用戶LDAP條目可能會導(dǎo)致應(yīng)用程序使用不正確的DN。
·CVE-2017-3253
描述:OpenJDK的2D組件執(zhí)行iTXt和zTXt PNG圖像塊的解析�,即使配置為忽略元數(shù)據(jù)。能夠使Java應(yīng)用程序解析巧盡心思構(gòu)建的PNG圖像的攻擊者可能會導(dǎo)致應(yīng)用程序消耗過多的內(nèi)存����。
·CVE-2017-3261
描述:Oracle Java SE的Java SE、Java SE嵌入式組件(子組件:網(wǎng)絡(luò))中存在漏洞��。受影響的受支持版本是javase:6u131�、7u121和8u112;javase Embedded:8u111����。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過多個協(xié)議訪問網(wǎng)絡(luò),從而危害Java SE�、Java SE Embedded。成功的攻擊需要攻擊者以外的人與人進(jìn)行交互����。成功攻擊此漏洞可導(dǎo)致對Java SE、Java SE嵌入式可訪問數(shù)據(jù)的子集進(jìn)行未經(jīng)授權(quán)的讀取訪問����。注意:此漏洞適用于Java部署,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中�����,這些客戶端加載并運(yùn)行不受信任的代碼(例如��,來自internet的代碼)并依賴Java沙盒來確保安全��。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如�,由管理員安裝的代碼)的Java部署,通常在服務(wù)器中��。CVSS v3.0基本得分4.3(機(jī)密性影響)。
·CVE-2017-3272
描述:Oracle Java SE的Java SE���、Java SE嵌入式組件(子組件:庫)中存在漏洞����。受影響的受支持版本是javase:6u131��、7u121和8u112����;javase Embedded:8u111。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過多個協(xié)議訪問網(wǎng)絡(luò)��,從而危害Java SE����、Java SE Embedded。成功的攻擊需要攻擊者以外的人與人交互�����,雖然漏洞存在于javase中�����,但攻擊可能會嚴(yán)重影響其他產(chǎn)品。成功攻擊此漏洞可導(dǎo)致接管Java SE�,Java SE Embedded�。注意:此漏洞適用于Java部署,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中����,這些客戶端加載并運(yùn)行不受信任的代碼(例如,來自internet的代碼)并依賴Java沙盒來確保安全�。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如,由管理員安裝的代碼)的Java部署����,通常在服務(wù)器中。CVSS v3.0基本得分9.6(機(jī)密性����、完整性和可用性影響)。
·CVE-2017-3289
描述:Oracle Java SE的Java SE���、Java SE嵌入式組件(子組件:熱點(diǎn))中的漏洞����。受影響的受支持版本是javase:7u121和8u112;javase Embedded:8u111����。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過多個協(xié)議訪問網(wǎng)絡(luò),從而危害Java SE����、Java SE Embedded。成功的攻擊需要攻擊者以外的人與人交互���,雖然漏洞存在于javase中�����,但攻擊可能會嚴(yán)重影響其他產(chǎn)品�����。成功攻擊此漏洞可導(dǎo)致接管Java SE���,Java SE Embedded。注意:此漏洞適用于Java部署�,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中,這些客戶端加載并運(yùn)行不受信任的代碼(例如��,來自internet的代碼)并依賴Java沙盒來確保安全。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如��,由管理員安裝的代碼)的Java部署��,通常在服務(wù)器中����。CVSS v3.0基本得分9.6(機(jī)密性�、完整性和可用性影響)。
·CVE-2017-3509
描述:OpenJDK的網(wǎng)絡(luò)組件中的HTTP客戶端實(shí)現(xiàn)可以在不同的安全上下文中緩存和重用經(jīng)過NTLM身份驗(yàn)證的連接���。遠(yuǎn)程攻擊者可能利用此漏洞使Java應(yīng)用程序執(zhí)行使用其他用戶的憑據(jù)進(jìn)行身份驗(yàn)證的HTTP請求
·CVE-2017-3511
描述:在OpenJDK的JCE組件中發(fā)現(xiàn)了一個不受信任的庫搜索路徑缺陷����。本地攻擊者可能會利用此漏洞導(dǎo)致使用JCE的Java應(yīng)用程序加載攻擊者控制的庫����,從而提升其權(quán)限。
·CVE-2017-3526
描述:發(fā)現(xiàn)OpenJDK的JAXP組件在解析XML文檔時未能正確地執(zhí)行解析樹大小限制�����。能夠使Java應(yīng)用程序解析巧盡心思構(gòu)建的XML文檔的攻擊者可以利用此漏洞使其消耗過多的CPU和內(nèi)存�����。
·CVE-2017-3533
描述:在OpenJDK的網(wǎng)絡(luò)組件的FTP客戶端實(shí)現(xiàn)中發(fā)現(xiàn)了一個新行注入缺陷。遠(yuǎn)程攻擊者可能利用此漏洞操縱Java應(yīng)用程序建立的FTP連接��。
·CVE-2017-3539
描述:OpenJDK的安全組件不允許用戶限制Jar完整性驗(yàn)證所允許的算法集���。此漏洞允許攻擊者修改使用弱簽名密鑰或哈希算法的Jar文件的內(nèi)容�。
·CVE-2017-3544
描述:在OpenJDK的網(wǎng)絡(luò)組件的SMTP客戶端實(shí)現(xiàn)中發(fā)現(xiàn)了一個新行注入缺陷���。遠(yuǎn)程攻擊者可能利用此漏洞操縱Java應(yīng)用程序建立的SMTP連接�。
·CVE-2018-2579
描述:我們發(fā)現(xiàn)OpenJDK的Libraries組件中的多個加密密鑰類不能正確同步對其內(nèi)部數(shù)據(jù)的訪問���。這可能會導(dǎo)致多線程Java應(yīng)用程序?qū)?shù)據(jù)應(yīng)用弱加密����,因?yàn)槭褂玫拿荑€被清零��。
·CVE-2018-2588
描述:我們發(fā)現(xiàn)OpenJDK的LDAP組件在將用戶名中的特殊字符添加到LDAP搜索查詢時未能正確編碼��。遠(yuǎn)程攻擊者可能利用此漏洞操縱LdapLoginModule類執(zhí)行的LDAP查詢���。
·CVE-2018-2599
描述:我們發(fā)現(xiàn)OpenJDK的JNDI組件中的DNS客戶端實(shí)現(xiàn)在發(fā)送DNS查詢時沒有使用隨機(jī)源端口��。這會使遠(yuǎn)程攻擊者更容易偽造對這些查詢的響應(yīng)��。
·CVE-2018-2602
描述:我們發(fā)現(xiàn)OpenJDK的I18n組件在加載資源包類時可能使用不可信的搜索路徑��。本地攻擊者可能利用此漏洞���,通過使其Java應(yīng)用程序加載攻擊者控制的類文件�����,以另一個本地用戶的身份執(zhí)行任意代碼��。
·CVE-2018-2603
描述:我們發(fā)現(xiàn)OpenJDK的Libraries組件在讀取DER編碼的輸入時未能充分限制分配的內(nèi)存量。如果Java應(yīng)用程序解析了攻擊者提供的DER編碼輸入�����,則遠(yuǎn)程攻擊者可能會利用此缺陷使其使用過多的內(nèi)存�。
·CVE-2018-2618
描述:我們發(fā)現(xiàn)OpenJDK的JCE組件中的密鑰協(xié)議實(shí)現(xiàn)不能保證使用的密鑰有足夠的強(qiáng)度來充分保護(hù)生成的共享秘密。這使得通過攻擊密鑰協(xié)議而不是使用協(xié)商的秘密加密更容易破壞數(shù)據(jù)加密����。
·CVE-2018-2629
描述:我們發(fā)現(xiàn)OpenJDK的JGSS組件在某些情況下無法正確處理本地GSS庫包裝器中的GSS上下文。遠(yuǎn)程攻擊者可能使用JGSS生成Java應(yīng)用程序�,以使用先前釋放的上下文�。
·CVE-2018-2633
描述:我們發(fā)現(xiàn)OpenJDK的JNDI組件中的LDAPCertStore類無法安全地處理LDAP引用���。攻擊者可能利用此漏洞獲取攻擊者控制的證書數(shù)據(jù)��。
·CVE-2018-2634
描述:OpenJDK的JGSS組件忽略javax.security.auth.useSubjectCredsOnly屬性在使用HTTP/SPNEGO身份驗(yàn)證時始終使用全局憑據(jù)�����。發(fā)現(xiàn)這可能會導(dǎo)致不受信任的Java應(yīng)用程序意外地使用全局憑據(jù)���。
·CVE-2018-2637
描述:我們發(fā)現(xiàn)OpenJDK的JMX組件在某些情況下未能正確設(shè)置SingleEntryRegistry的反序列化過濾器。遠(yuǎn)程攻擊者可能利用此漏洞繞過預(yù)期的反序列化限制��。
·CVE-2018-2641
描述:Oracle Java SE的Java SE��、Java SE嵌入式組件(子組件:AWT)中存在漏洞��。受影響的受支持版本是javase:6u171�、7u161、8u152和9.0.1���;javase Embedded:8u151���。難以利用的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過多個協(xié)議訪問網(wǎng)絡(luò)�����,危害Java SE���、Java SE Embedded。成功的攻擊需要攻擊者以外的人與人交互�,雖然漏洞存在于javase中,但攻擊可能會嚴(yán)重影響其他產(chǎn)品����。成功攻擊此漏洞可導(dǎo)致未經(jīng)授權(quán)創(chuàng)建、刪除或修改對關(guān)鍵數(shù)據(jù)或所有Java SE�、Java SE嵌入的可訪問數(shù)據(jù)的訪問。注意:此漏洞適用于Java部署�����,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中����,這些客戶端加載并運(yùn)行不受信任的代碼(例如�����,來自internet的代碼)并依賴Java沙盒來確保安全。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如�����,由管理員安裝的代碼)的Java部署�����,通常在服務(wù)器中��。CVSS 3.0基本得分6.1(完整性影響)����。CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:N/I:H/A:N).
·CVE-2018-2663
描述:Oracle Java SE的Java SE、Java SE Embedded�、JRockit組件(子組件:庫)中存在漏洞。受影響的受支持版本有:6u171����、7u161、8u152和9.0.1���;javase Embedded:8u151�����;JRockit:R28.3.16�����。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過多種協(xié)議訪問網(wǎng)絡(luò)��,從而危害Java SE��、Java SE Embedded�����、JRockit�����。成功的攻擊需要攻擊者以外的人與人進(jìn)行交互�。成功攻擊此漏洞會導(dǎo)致未經(jīng)授權(quán)的能力,從而導(dǎo)致Java SE����、Java SE Embedded�����、JRockit的部分拒絕服務(wù)(部分拒絕服務(wù))。注意:此漏洞適用于Java的客戶端和服務(wù)器部署����。此漏洞可通過沙盒Java Web Start應(yīng)用程序和沙盒Java小程序進(jìn)行攻擊。也可以通過向指定組件中的api提供數(shù)據(jù)而不使用沙盒javawebstart應(yīng)用程序或沙盒Java applet(例如通過Web服務(wù))來攻擊它�����。CVSS 3.0基本得分4.3(可用性影響)�。
·CVE-2018-2677
描述:Oracle Java SE的Java SE、Java SE嵌入式組件(子組件:AWT)中存在漏洞���。受影響的受支持版本是javase:6u171���、7u161、8u152和9.0.1���;javase Embedded:8u151����。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過多個協(xié)議訪問網(wǎng)絡(luò)�����,從而危害Java SE、Java SE Embedded�。成功的攻擊需要攻擊者以外的人與人進(jìn)行交互。成功攻擊此漏洞可導(dǎo)致未經(jīng)授權(quán)的能力�,從而導(dǎo)致Java SE、Java SE Embedded的部分拒絕服務(wù)(部分DOS)�����。注意:此漏洞適用于Java部署�,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中,這些客戶端加載并運(yùn)行不受信任的代碼(例如����,來自internet的代碼)并依賴Java沙盒來確保安全。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如�����,由管理員安裝的代碼)的Java部署���,通常在服務(wù)器中��。CVSS 3.0基本得分4.3(可用性影響)�����。CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L).
·CVE-2018-2678
描述:Oracle Java SE的Java SE�、Java SE Embedded���、JRockit組件(子組件:JNDI)中存在漏洞���。受影響的受支持版本有:6u171、7u161���、8u152和9.0.1���;javase Embedded:8u151;JRockit:R28.3.16�。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過多種協(xié)議訪問網(wǎng)絡(luò),從而危害Java SE��、Java SE Embedded��、JRockit����。成功的攻擊需要攻擊者以外的人與人進(jìn)行交互��。成功攻擊此漏洞會導(dǎo)致未經(jīng)授權(quán)的能力��,從而導(dǎo)致Java SE�、Java SE Embedded�、JRockit的部分拒絕服務(wù)(部分拒絕服務(wù))。注意:此漏洞適用于Java的客戶端和服務(wù)器部署�。此漏洞可通過沙盒Java Web Start應(yīng)用程序和沙盒Java小程序進(jìn)行攻擊。也可以通過向指定組件中的api提供數(shù)據(jù)而不使用沙盒javawebstart應(yīng)用程序或沙盒Java applet(例如通過Web服務(wù))來攻擊它�����。CVSS 3.0基本得分4.3(可用性影響)�����。CVSS Vector:(CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L)�����。
·CVE-2018-2790
描述:Oracle Java SE的Java SE���、Java SE嵌入式組件(子組件:安全性)中的漏洞�。受影響的受支持版本是javase:6u181��、7u171、8u162和10�;javase Embedded:8u161。難以利用的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過多個協(xié)議訪問網(wǎng)絡(luò)�����,危害Java SE�、Java SE Embedded�。成功的攻擊需要攻擊者以外的人與人進(jìn)行交互。成功攻擊此漏洞可導(dǎo)致未經(jīng)授權(quán)更新��、插入或刪除對Java SE����、Java SE嵌入的可訪問數(shù)據(jù)的訪問。注意:此漏洞適用于Java部署�����,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中�����,這些客戶端加載并運(yùn)行不受信任的代碼(例如�,來自internet的代碼)并依賴Java沙盒來確保安全���。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如,由管理員安裝的代碼)的Java部署��,通常在服務(wù)器中�。CVSS 3.0基本得分3.1(完整性影響)。CVSS Vector:(CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N)���。
·CVE-2018-2794
描述:Java SE中的漏洞���,Oracle Java SE的JRockit組件(子組件:安全性)。受影響的受支持版本是javase:6u181�����、7u171��、8u162�、10和JRockit:R28.3.17。難以利用的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者登錄到執(zhí)行Java SE���、JRockit的基礎(chǔ)設(shè)施����,從而危害Java SE、JRockit�。成功的攻擊需要攻擊者以外的人與人交互,雖然漏洞存在于Java SE���、JRockit中����,但攻擊可能會顯著影響其他產(chǎn)品�。成功攻擊此漏洞可導(dǎo)致接管Java SE�����、JRockit�。注意:適用于Java的客戶端和服務(wù)器部署。此漏洞可通過沙盒Java Web Start應(yīng)用程序和沙盒Java小程序進(jìn)行攻擊�。也可以通過向指定組件中的api提供數(shù)據(jù)而不使用沙盒javawebstart應(yīng)用程序或沙盒Java applet(例如通過Web服務(wù))來攻擊它。CVSS 3.0基本得分7.7(機(jī)密性�、完整性和可用性影響)。CVSS Vector:(CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H)�����。
·CVE-2018-2795
描述:Oracle Java SE的Java SE�,Java SE Embedded�,JRockit組件中的漏洞(子組件:安全性)��。受影響的受支持版本有:6u181���、7u171��、8u162和10�;javase Embedded:8u161���;JRockit:R28.3.17��。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過多種協(xié)議訪問網(wǎng)絡(luò)��,從而危害Java SE��、Java SE Embedded��、JRockit�。成功攻擊此漏洞會導(dǎo)致未經(jīng)授權(quán)的能力��,從而導(dǎo)致Java SE�、Java SE Embedded、JRockit的部分拒絕服務(wù)(部分拒絕服務(wù))。注意:適用于Java的客戶端和服務(wù)器部署��。此漏洞可通過沙盒Java Web Start應(yīng)用程序和沙盒Java小程序進(jìn)行攻擊�����。也可以通過向指定組件中的api提供數(shù)據(jù)而不使用沙盒javawebstart應(yīng)用程序或沙盒Java applet(例如通過Web服務(wù))來攻擊它�����。CVSS 3.0基本得分5.3(可用性影響)�。CVSS Vector:(CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)。
·CVE-2018-2796
描述:Oracle Java SE的Java SE�、Java SE Embedded、JRockit組件(子組件:并發(fā))中存在漏洞�����。受影響的受支持版本有:7u171�����、8u162和10��;javase Embedded:8u161��;JRockit:R28.3.17�����。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過多種協(xié)議訪問網(wǎng)絡(luò)��,從而危害Java SE�����、Java SE Embedded��、JRockit����。成功攻擊此漏洞會導(dǎo)致未經(jīng)授權(quán)的能力,從而導(dǎo)致Java SE��、Java SE Embedded���、JRockit的部分拒絕服務(wù)(部分拒絕服務(wù))�。注意:適用于Java的客戶端和服務(wù)器部署����。此漏洞可通過沙盒Java Web Start應(yīng)用程序和沙盒Java小程序進(jìn)行攻擊。也可以通過向指定組件中的api提供數(shù)據(jù)而不使用沙盒javawebstart應(yīng)用程序或沙盒Java applet(例如通過Web服務(wù))來攻擊它。CVSS 3.0基本得分5.3(可用性影響)��。CVSS Vector:(CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)����。
·CVE-2018-2797
描述:Oracle Java SE的Java SE,Java SE Embedded���,JRockit組件(子組件:JMX)中存在漏洞����。受影響的受支持版本有:6u181�、7u171、8u162和10���;javase Embedded:8u161�;JRockit:R28.3.17�。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過多種協(xié)議訪問網(wǎng)絡(luò)����,從而危害Java SE、Java SE Embedded�、JRockit。成功攻擊此漏洞會導(dǎo)致未經(jīng)授權(quán)的能力,從而導(dǎo)致Java SE����、Java SE Embedded、JRockit的部分拒絕服務(wù)(部分拒絕服務(wù))�����。注意:適用于Java的客戶端和服務(wù)器部署��。此漏洞可通過沙盒Java Web Start應(yīng)用程序和沙盒Java小程序進(jìn)行攻擊���。也可以通過向指定組件中的api提供數(shù)據(jù)而不使用沙盒javawebstart應(yīng)用程序或沙盒Java applet(例如通過Web服務(wù))來攻擊它�。CVSS 3.0基本得分5.3(可用性影響)�����。CVSS Vector:(CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)�。
·CVE-2018-2798
描述:Oracle Java SE的Java SE,Java SE Embedded�����,JRockit組件(子組件:AWT)中存在漏洞����。受影響的受支持版本有:6u181�、7u171��、8u162和10��;javase Embedded:8u161����;JRockit:R28.3.17。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過多種協(xié)議訪問網(wǎng)絡(luò)�����,從而危害Java SE�����、Java SE Embedded���、JRockit��。成功攻擊此漏洞會導(dǎo)致未經(jīng)授權(quán)的能力,從而導(dǎo)致Java SE��、Java SE Embedded、JRockit的部分拒絕服務(wù)(部分拒絕服務(wù))���。注意:適用于Java的客戶端和服務(wù)器部署�����。此漏洞可通過沙盒Java Web Start應(yīng)用程序和沙盒Java小程序進(jìn)行攻擊��。也可以通過向指定組件中的api提供數(shù)據(jù)而不使用沙盒javawebstart應(yīng)用程序或沙盒Java applet(例如通過Web服務(wù))來攻擊它���。CVSS 3.0基本得分5.3(可用性影響)。CVSS Vector:(CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)���。
·CVE-2018-2799
描述:Oracle Java SE的Java SE����、Java SE Embedded�����、JRockit組件(子組件:JAXP)中存在漏洞�。受影響的受支持版本有:7u171、8u162和10�;javase Embedded:8u161���;JRockit:R28.3.17。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過多種協(xié)議訪問網(wǎng)絡(luò)�,從而危害Java SE、Java SE Embedded�����、JRockit����。成功攻擊此漏洞會導(dǎo)致未經(jīng)授權(quán)的能力,從而導(dǎo)致Java SE�、Java SE Embedded、JRockit的部分拒絕服務(wù)(部分拒絕服務(wù))��。注意:適用于Java的客戶端和服務(wù)器部署���。此漏洞可通過沙盒Java Web Start應(yīng)用程序和沙盒Java小程序進(jìn)行攻擊����。也可以通過向指定組件中的api提供數(shù)據(jù)而不使用沙盒javawebstart應(yīng)用程序或沙盒Java applet(例如通過Web服務(wù))來攻擊它�。CVSS 3.0基本得分5.3(可用性影響)。CVSS Vector:(CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)���。
·CVE-2018-2800
描述:Java SE中的漏洞��,Oracle Java SE的JRockit組件(子組件:RMI)����。受影響的受支持版本是javase:6u181���、7u171和8u162����;JRockit:R28.3.17����。難以利用的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過多個協(xié)議訪問網(wǎng)絡(luò),從而危害Java SE���、JRockit�。成功的攻擊需要攻擊者以外的人與人進(jìn)行交互���。成功攻擊此漏洞可導(dǎo)致對某些Java SE��、JRockit可訪問數(shù)據(jù)的未經(jīng)授權(quán)的更新�、插入或刪除訪問,以及對Java SE�、JRockit可訪問數(shù)據(jù)的子集的未經(jīng)授權(quán)的讀取訪問。注意:只有通過向指定組件中的API提供數(shù)據(jù)而不使用不受信任的Java Web Start應(yīng)用程序或不受信任的Java小程序(如通過Web服務(wù))來攻擊此漏洞�����。CVSS 3.0基本得分4.2(機(jī)密性和完整性影響)�����。CVSS Vector:(CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:N)�。
·CVE-2018-2814
描述:Oracle Java SE的Java SE、Java SE嵌入式組件(子組件:熱點(diǎn))中的漏洞��。受影響的受支持版本是javase:6u181�����、7u171���、8u162和10����;javase Embedded:8u161。難以利用的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過多個協(xié)議訪問網(wǎng)絡(luò)�����,危害Java SE���、Java SE Embedded。成功的攻擊需要攻擊者以外的人與人交互��,雖然漏洞存在于javase中���,但攻擊可能會嚴(yán)重影響其他產(chǎn)品�����。成功攻擊此漏洞可導(dǎo)致接管Java SE�,Java SE Embedded��。注意:此漏洞適用于Java部署��,通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序的客戶端中�����,這些客戶端加載并運(yùn)行不受信任的代碼(例如,來自internet的代碼)并依賴Java沙盒來確保安全����。此漏洞不適用于僅加載和運(yùn)行受信任代碼(例如,由管理員安裝的代碼)的Java部署���,通常在服務(wù)器中����。CVSS 3.0基本得分8.3(機(jī)密性����、完整性和可用性影響)。CVSS Vector:(CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H)�����。
·CVE-2018-2815
描述:Oracle Java SE的Java SE���、Java SE Embedded��、JRockit組件(子組件:序列化)中存在漏洞�����。受影響的受支持版本有:6u181�、7u171、8u162和10���;javase Embedded:8u161�;JRockit:R28.3.17��。易受攻擊的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過多種協(xié)議訪問網(wǎng)絡(luò)���,從而危害Java SE、Java SE Embedded��、JRockit�。成功攻擊此漏洞會導(dǎo)致未經(jīng)授權(quán)的能力,從而導(dǎo)致Java SE�、Java SE Embedded、JRockit的部分拒絕服務(wù)(部分拒絕服務(wù))����。注意:適用于Java的客戶端和服務(wù)器部署。此漏洞可通過沙盒Java Web Start應(yīng)用程序和沙盒Java小程序進(jìn)行攻擊�。也可以通過向指定組件中的api提供數(shù)據(jù)而不使用沙盒javawebstart應(yīng)用程序或沙盒Java applet(例如通過Web服務(wù))來攻擊它。CVSS 3.0基本得分5.3(可用性影響)�。CVSS Vector:(CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)。
·CVE-2018-2952
描述:Oracle Java SE的Java SE、Java SE Embedded����、JRockit組件(子組件:并發(fā))中存在漏洞。受影響的受支持版本有:6u191�、7u181、8u172和10.0.1��;javase Embedded:8u171�����;JRockit:R28.3.18�����。難以利用的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過多種協(xié)議訪問網(wǎng)絡(luò)���,從而危害Java SE�、Java SE Embedded����、JRockit。成功攻擊此漏洞會導(dǎo)致未經(jīng)授權(quán)的能力�,從而導(dǎo)致Java SE�、Java SE Embedded����、JRockit的部分拒絕服務(wù)(部分拒絕服務(wù))。注意:適用于Java的客戶端和服務(wù)器部署�����。此漏洞可通過沙盒Java Web Start應(yīng)用程序和沙盒Java小程序進(jìn)行攻擊��。也可以通過向指定組件中的api提供數(shù)據(jù)而不使用沙盒javawebstart應(yīng)用程序或沙盒Java applet(例如通過Web服務(wù))來攻擊它�。CVSS 3.0基本得分3.7(可用性影響)。CVSS Vector:(CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L)�。
2.受影響的軟件包
·中標(biāo)麒麟高級服務(wù)器操作系統(tǒng) V7
·aarch64架構(gòu):
java-1.8.0-openjdk、java-1.8.0-openjdk-accessibility��、java-1.8.0-openjdk-accessibility-debug�����、java-1.8.0-openjdk-debug����、java-1.8.0-openjdk-demo�、java-1.8.0-openjdk-demo-debug����、java-1.8.0-openjdk-devel�����、java-1.8.0-openjdk-devel-debug�����、java-1.8.0-openjdk-headless����、java-1.8.0-openjdk-headless-debug、java-1.8.0-openjdk-javadoc����、java-1.8.0-openjdk-javadoc-debug、java-1.8.0-openjdk-javadoc-zip���、java-1.8.0-openjdk-javadoc-zip-debug����、java-1.8.0-openjdk-src�����、java-1.8.0-openjdk-src-debug
·x86_64架構(gòu):
java-1.8.0-openjdk、java-1.8.0-openjdk-accessibility���、java-1.8.0-openjdk-accessibility-debug����、java-1.8.0-openjdk-debug����、java-1.8.0-openjdk-demo、java-1.8.0-openjdk-demo-debug�����、java-1.8.0-openjdk-devel�、java-1.8.0-openjdk-devel-debug、java-1.8.0-openjdk-headless����、java-1.8.0-openjdk-headless-debug���、java-1.8.0-openjdk-javadoc����、java-1.8.0-openjdk-javadoc-debug、java-1.8.0-openjdk-javadoc-zip�����、java-1.8.0-openjdk-javadoc-zip-debug����、java-1.8.0-openjdk-src、java-1.8.0-openjdk-src-debug
3.軟件包修復(fù)版本
·中標(biāo)麒麟高級服務(wù)器操作系統(tǒng) V7 (aarch64�、x86_64)
java-1.8.0-openjdk-1.8.0.181-7.b13.el7或以上版本
java-1.8.0-openjdk-accessibility-1.8.0.181-7.b13.el7或以上版本
java-1.8.0-openjdk-accessibility-debug-1.8.0.181-7.b13.el7或以上版本
java-1.8.0-openjdk-debug-1.8.0.181-7.b13.el7或以上版本
java-1.8.0-openjdk-demo-1.8.0.181-7.b13.el7或以上版本
java-1.8.0-openjdk-demo-debug-1.8.0.181-7.b13.el7或以上版本
java-1.8.0-openjdk-devel-1.8.0.181-7.b13.el7或以上版本
java-1.8.0-openjdk-devel-debug-1.8.0.181-7.b13.el7或以上版本
java-1.8.0-openjdk-headless-1.8.0.181-7.b13.el7或以上版本
java-1.8.0-openjdk-headless-debug-1.8.0.181-7.b13.el7或以上版本
java-1.8.0-openjdk-javadoc-1.8.0.181-7.b13.el7或以上版本
java-1.8.0-openjdk-javadoc-debug-1.8.0.181-7.b13.el7或以上版本
java-1.8.0-openjdk-javadoc-zip-1.8.0.181-7.b13.el7或以上版本
java-1.8.0-openjdk-javadoc-zip-debug-1.8.0.181-7.b13.el7或以上版本
java-1.8.0-openjdk-src-1.8.0.181-7.b13.el7或以上版本
java-1.8.0-openjdk-src-debug-1.8.0.181-7.b13.el7或以上版本
4.修復(fù)方法
方法一:配置源進(jìn)行升級安裝
1.打開軟件包源配置文件,根據(jù)倉庫地址進(jìn)行修改�。
倉庫源地址:
中標(biāo)麒麟高級服務(wù)器操作系統(tǒng) V7
aarch64:https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/aarch64/
x86_64:https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/x86_64/
2.配置完成后執(zhí)行更新命令進(jìn)行升級,命令如下:
yum update Packagename
方法二:下載安裝包進(jìn)行升級安裝
通過軟件包地址下載軟件包�,使用軟件包升級命令根據(jù)受影響的軟件包
列表進(jìn)行升級安裝, 命令如下:
yum install Packagename
3.升級完成后是否需要重啟服務(wù)或操作系統(tǒng):
CVE-2016-0686:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2016-0687:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效���。
CVE-2016-0695:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�。
CVE-2016-10165:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�。
CVE-2016-3425:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2016-3427:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效���。
CVE-2016-3458:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效���。
CVE-2016-3500:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�。
CVE-2016-3508:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效����。
CVE-2016-3550:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2016-3606:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�。
CVE-2016-5542:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2016-5546:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效����。
CVE-2016-5547:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2016-5548:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�����。
CVE-2016-5552:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效����。
CVE-2016-5554:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2016-5573:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效����。
CVE-2016-5582:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�。
CVE-2016-5597:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效���。
CVE-2017-10053:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2017-10067:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效��。
CVE-2017-10074:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效����。
CVE-2017-10081:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2017-10087:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效��。
CVE-2017-10089:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效��。
CVE-2017-10090:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�。
CVE-2017-10096:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2017-10101:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效���。
CVE-2017-10102:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效����。
CVE-2017-10107:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效��。
CVE-2017-10108:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�����。
CVE-2017-10109:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2017-10110:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效���。
CVE-2017-10115:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�����。
CVE-2017-10116:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效����。
CVE-2017-10135:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�����。
CVE-2017-10193:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效����。
CVE-2017-10198:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2017-10243:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�。
CVE-2017-10274:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2017-10281:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�。
CVE-2017-10285:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2017-10295:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效���。
CVE-2017-10345:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效���。
CVE-2017-10346:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效���。
CVE-2017-10347:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�。
CVE-2017-10348:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2017-10349:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效���。
CVE-2017-10350:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效��。
CVE-2017-10355:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效��。
CVE-2017-10356:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效��。
CVE-2017-10357:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�����。
CVE-2017-10388:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效����。
CVE-2017-3231:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效��。
CVE-2017-3241:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2017-3252:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效��。
CVE-2017-3253:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效����。
CVE-2017-3261:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2017-3272:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效����。
CVE-2017-3289:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2017-3509:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效����。
CVE-2017-3511:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2017-3526:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效���。
CVE-2017-3533:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�����。
CVE-2017-3539:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�。
CVE-2017-3544:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�����。
CVE-2018-2579:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2018-2588:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效��。
CVE-2018-2599:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�。
CVE-2018-2602:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2018-2603:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�。
CVE-2018-2618:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2018-2629:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效��。
CVE-2018-2633:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效���。
CVE-2018-2634:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2018-2637:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�。
CVE-2018-2641:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2018-2663:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�。
CVE-2018-2677:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2018-2678:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�����。
CVE-2018-2790:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�。
CVE-2018-2794:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2018-2795:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�����。
CVE-2018-2796:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2018-2797:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效��。
CVE-2018-2798:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�����。
CVE-2018-2799:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�。
CVE-2018-2800:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2018-2814:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效���。
CVE-2018-2815:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�。
CVE-2018-2952:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效����。
5.軟件包下載地址
·中標(biāo)麒麟高級服務(wù)器操作系統(tǒng) V7
java-1.8.0-openjdk(aarch64)軟件包下載地址:
https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/aarch64/Packages/java-1.8.0-openjdk-1.8.0.181-7.b13.el7.aarch64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/aarch64/Packages/java-1.8.0-openjdk-accessibility-1.8.0.181-7.b13.el7.aarch64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/aarch64/Packages/java-1.8.0-openjdk-accessibility-debug-1.8.0.181-7.b13.el7.aarch64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/aarch64/Pac
安全漏洞補(bǔ)丁公告
