OpenJDK：在TLS handshake期间错误处理证书状态消息（JSSE，8222678）

CVE编号

CVE-2019-2821

利用情况

暂无

补丁情况

官方补丁

披露时间

2019-07-24

漏洞描述

Oracle Java SE的Java SE组件（子组件：JSSE）中的漏洞。受影响的支持版本是Java SE：11.0.3和12.0.1。难以利用漏洞允许通过TLS进行网络访问的未经身份验证的攻击者破坏Java SE。成功的攻击需要攻击者以外的人进行人工交互。成功攻击此漏洞可能导致对关键数据的未授权访问或对所有Java SE可访问数据的完全访问。注意：此漏洞适用于Java部署，通常在运行沙盒Java Web Start应用程序或沙盒Java小程序（在Java SE 8中）的客户端中，这些客户端加载和运行不受信任的代码（例如，来自Internet的代码）并依赖于Java安全沙箱。此漏洞不适用于仅部署受信任代码（例如，管理员安装的代码）的Java部署（通常在服务器中）。 CVSS 3.0基本分数5.3（保密影响）。 CVSS矢量：（CVSS：3.0 / AV：N / AC：H / PR：N / UI：R / S：U / C：H / I：N / A：N）。

解决建议

厂商已发布了漏洞修复程序，请及时关注更新：https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html

参考链接
http://lists.opensuse.org/opensuse-security-announce/2019-08/msg00038.html
http://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html
https://usn.ubuntu.com/4083-1/

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	oracle	jdk	11.0.3	-
	运行在以下环境
	应用	oracle	jdk	12.0.1	-
	运行在以下环境
	应用	oracle	jre	11.0.3	-
	运行在以下环境
	应用	oracle	jre	12.0.1	-
	运行在以下环境
	系统	alibaba_cloud_linux_2.1903	openjdk-11	*		Up to (excluding) 11.0.4.11-0.1.al7
	运行在以下环境
	系统	amazon_2	openjdk-11	*		Up to (excluding) 11.0.4+11-1.amzn2
	运行在以下环境
	系统	centos_7	openjdk-11	*		Up to (excluding) 11.0.4.11-0.el7_6
	运行在以下环境
	系统	centos_8	openjdk-11	*		Up to (excluding) 11.0.4.11-0.el8_0
	运行在以下环境
	系统	debian_10	openjdk-11	*		Up to (excluding) 11.0.4+11-1~deb10u1
	运行在以下环境
	系统	opensuse_Leap_15.0	openjdk-11	*		Up to (excluding) 11.0.4.0-lp151.3.6.1
	运行在以下环境
	系统	opensuse_Leap_15.1	openjdk-11	*		Up to (excluding) 11.0.4.0-lp151.3.6.1
	运行在以下环境
	系统	oracle_7	openjdk-11	*		Up to (excluding) 11.0.4.11-0.0.1.el7_6
	运行在以下环境
	系统	oracle_8	openjdk-11	*		Up to (excluding) 11.0.4.11-0.el8_0
	运行在以下环境
	系统	redhat_8	openjdk-11	*		Up to (excluding) 11.0.4.11-0.el8_0
	运行在以下环境
	系统	ubuntu_18.04	openjdk-11	*		Up to (excluding) 11.0.4+11-1ubuntu2~18.04.3
查看完整数据

阿里云评分 2.7

• 攻击路径 远程
• 攻击复杂度 困难
• 权限要求 无需权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 100

CWE-ID 漏洞类型 NVD-CWE-noinfo