Oracle Java SE 7u241/8u231/11.0.5/13.0.1 Security 信息泄漏漏洞

CVE编号

CVE-2020-2601

利用情况

暂无

补丁情况

官方补丁

披露时间

2020-01-16

漏洞描述

Oracle Java SE（组件：安全性）的Java SE, Java SE Embedded  产品中的漏洞。受影响的受支持版本为Java SE：7u241、8u231、11.0.5和13.0.1；嵌入式Java SE：8u231。难以利用的漏洞允许未经身份验证的攻击者通过Kerberos进行网络访问，从而危害Java SE，嵌入式Java SE。尽管此漏洞位于Java SE，Java SE Embedded中，但攻击可能会严重影响其他产品。成功攻击此漏洞可能导致未授权访问关键数据或完全访问所有Java SE，Java SE Embedded可访问数据。注意：此漏洞适用于Java部署，通常在运行沙盒Java Web Start应用程序或沙盒Java applet（在Java SE 8中）的客户端中，这些客户端加载并运行不受信任的代码（例如，来自Internet的代码）并依赖Java沙盒的安全性。还可以通过在指定组件中使用API来利用此漏洞，例如，通过向API提供数据的Web服务。 CVSS 3.0基本分数6.8（机密性影响）。 CVSS向矢量： (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:N/A:N)  。

解决建议

厂商已发布了漏洞修复程序，请及时关注更新：
https://www.oracle.com/security-alerts/cpujan2020.html

参考链接
http://lists.opensuse.org/opensuse-security-announce/2020-01/msg00050.html
http://lists.opensuse.org/opensuse-security-announce/2020-01/msg00060.html
https://access.redhat.com/errata/RHSA-2020:0122
https://access.redhat.com/errata/RHSA-2020:0128
https://access.redhat.com/errata/RHSA-2020:0157
https://access.redhat.com/errata/RHSA-2020:0196
https://access.redhat.com/errata/RHSA-2020:0202
https://access.redhat.com/errata/RHSA-2020:0231
https://access.redhat.com/errata/RHSA-2020:0232
https://access.redhat.com/errata/RHSA-2020:0541
https://access.redhat.com/errata/RHSA-2020:0632
https://lists.debian.org/debian-lts-announce/2020/02/msg00034.html
https://seclists.org/bugtraq/2020/Feb/22
https://seclists.org/bugtraq/2020/Jan/24
https://security.gentoo.org/glsa/202101-19
https://security.netapp.com/advisory/ntap-20200122-0003/
https://usn.ubuntu.com/4257-1/
https://www.debian.org/security/2020/dsa-4605
https://www.debian.org/security/2020/dsa-4621
https://www.oracle.com/security-alerts/cpujan2020.html

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	oracle	jdk	1.7.0	-
	运行在以下环境
	应用	oracle	jdk	1.8.0	-
	运行在以下环境
	应用	oracle	jdk	11.0.5	-
	运行在以下环境
	应用	oracle	jdk	13.0.1	-
	运行在以下环境
	应用	oracle	jre	1.7.0	-
	运行在以下环境
	应用	oracle	jre	1.8.0	-
	运行在以下环境
	应用	oracle	jre	11.0.5	-
	运行在以下环境
	应用	oracle	jre	13.0.1	-
	运行在以下环境
	应用	oracle	openjdk	11	-
	运行在以下环境
	应用	oracle	openjdk	11.0.1	-
	运行在以下环境
	应用	oracle	openjdk	11.0.2	-
	运行在以下环境
	应用	oracle	openjdk	11.0.3	-
	运行在以下环境
	应用	oracle	openjdk	11.0.4	-
	运行在以下环境
	应用	oracle	openjdk	11.0.5	-
	运行在以下环境
	应用	oracle	openjdk	13	-
	运行在以下环境
	应用	oracle	openjdk	13.0.1	-
	运行在以下环境
	应用	oracle	openjdk	7	-
	运行在以下环境
	应用	oracle	openjdk	8	-
	运行在以下环境
	系统	alibaba_cloud_linux_2.1903	openjdk8	*		Up to (excluding) 1.7.0.251-2.6.21.0.1.al7
	运行在以下环境
	系统	alpine_3.10	openjdk8	*		Up to (excluding) 7.251.2.6.21-r0
	运行在以下环境
	系统	alpine_3.11	openjdk8	*		Up to (excluding) 7.251.2.6.21-r0
	运行在以下环境
	系统	alpine_3.12	openjdk8	*		Up to (excluding) 8.242.08-r0
	运行在以下环境
	系统	alpine_3.13	openjdk8	*		Up to (excluding) 8.242.08-r0
	运行在以下环境
	系统	alpine_3.14	openjdk8	*		Up to (excluding) 8.242.08-r0
	运行在以下环境
	系统	alpine_3.15	openjdk8	*		Up to (excluding) 7.251.2.6.21-r0
	运行在以下环境
	系统	alpine_3.7	openjdk8	*		Up to (excluding) 8.242.08-r0
	运行在以下环境
	系统	alpine_3.8	openjdk8	*		Up to (excluding) 8.242.08-r0
	运行在以下环境
	系统	alpine_3.9	openjdk8	*		Up to (excluding) 7.251.2.6.21-r0
	运行在以下环境
	系统	alpine_edge	openjdk8	*		Up to (excluding) 11.0.6_p10-r0
	运行在以下环境
	系统	amazon_2	openjdk8	*		Up to (excluding) 1.8.0-openjdk-javadoc-1.8.0.242.b08-0.amzn2.0.1
	运行在以下环境
	系统	amazon_AMI	openjdk8	*		Up to (excluding) 1.8.0-openjdk-devel-1.8.0.242.b08-0.50.amzn1
	运行在以下环境
系统	centos_6	openjdk8	*		Up to (excluding) javadoc-1.8.0.242.b07-1.el6_10
运行在以下环境
系统	centos_7	openjdk8	*		Up to (excluding) demo-debug-1.8.0.242.b08-0.el7_7
运行在以下环境
系统	centos_8	openjdk8	*		Up to (excluding) 11.0.6.10-0.el8_1
运行在以下环境
系统	debian_10	openjdk8	*		Up to (excluding) 11.0.6+10-1~deb10u1
运行在以下环境
系统	debian_8	openjdk8	*		Up to (excluding) 7u95-2.6.4-1~deb8u1
运行在以下环境
系统	debian_9	openjdk8	*		Up to (excluding) 8u242-b08-1~deb9u1
运行在以下环境
系统	opensuse_Leap_15.1	openjdk8	*		Up to (excluding) 1.8.0.242-lp151.2.9.1
运行在以下环境
系统	oracle_6	openjdk8	*		Up to (excluding) 1.7.0.251-2.6.21.0.0.1.el6_10
运行在以下环境
系统	oracle_7	openjdk8	*		Up to (excluding) 1.7.0.251-2.6.21.0.0.1.el7_7
运行在以下环境
系统	oracle_8	openjdk8	*		Up to (excluding) 11.0.6.10-0.el8_1
运行在以下环境
系统	redhat_8	openjdk8	*		Up to (excluding) 1.8.0.6.15-1.el8_2
运行在以下环境
系统	suse_12_SP4	openjdk8	*		Up to (excluding) 1.7.0.251-43.35.1
运行在以下环境
系统	suse_12_SP5	openjdk8	*		Up to (excluding) 11.0.6.0-3.6.1
运行在以下环境
系统	ubuntu_16.04	openjdk8	*		Up to (excluding) 8u242-b08-0ubuntu3~16.04
运行在以下环境
系统	ubuntu_18.04	openjdk8	*		Up to (excluding) 11.0.6+10-1ubuntu1~18.04.1
运行在以下环境
系统	ubuntu_20.04	openjdk8	*		Up to (excluding) 11.0.6+10-1ubuntu1
运行在以下环境
系统	ubuntu_21.04	openjdk8	*		Up to (excluding) 11.0.6+10-1ubuntu1
运行在以下环境
系统	unionos_20	openjdk8	*		Up to (excluding) 11.0.6+10-1

攻击路径远程
攻击复杂度困难
权限要求无需权限
影响范围越权影响
EXP成熟度未验证
补丁情况官方补丁
数据保密性无影响
数据完整性无影响
服务器危害无影响
全网数量 100

CWE-ID 漏洞类型 NVD-CWE-noinfo

正文

Oracle Java SE 7u241/8u231/11.0.5/13.0.1 Security 信息泄漏漏洞

漏洞描述

解决建议

参考链接

受影响软件情况

相关阅读

IBM Tivoli Federated Identity Manager up to 6.2.2 FP15 跨站脚本攻击

IBM WebSphere MQ Light拒绝服务漏洞

IBM Security Network Protection GSKit信息泄露漏洞

NetApp Data ONTAP信息泄露漏洞

发表评论取消回复

还没有评论，来说两句吧...

目录[+]