Oracle Java SE 7u201/8u192/11.0.1 Libraries 访问控制漏洞

CVE编号

CVE-2019-2422

利用情况

暂无

补丁情况

官方补丁

披露时间

2019-01-17

漏洞描述

Oracle java se的java se组件中的漏洞(子组件：库)。受影响的支持版本是java se：7u 201、8u 192和11.0.1；javase Embedded：8u 191。难以攻击的漏洞允许未经身份验证的攻击者通过多个协议进行网络访问，从而危及java se。成功的攻击需要来自攻击者以外的人工交互。对此漏洞的成功攻击可能导致对Javase可访问数据子集的未经授权的读取访问。注意：此漏洞适用于Java部署，通常是在running sandboxed Java Web Start applications或sandboxed Java applets(在java se 8中)的客户端中，这些客户端加载和运行不受信任的代码(例如来自Internet的代码)，并依赖Java sandbox 来保证安全性。此漏洞不适用于只加载和运行可信代码(例如由管理员安装的代码)的java部署(通常在服务器中)。CVSS3.0基础得分3.1(机密性影响)。CVSS矢量：(cvss:3.0/av:n/ac:h/pr:n/ui:r/s:u/c:l/i:n/a:n).   

解决建议

厂商已发布漏洞修复程序，请及时关注更新：https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html

参考链接
http://lists.opensuse.org/opensuse-security-announce/2019-03/msg00028.html
http://lists.opensuse.org/opensuse-security-announce/2019-05/msg00059.html
http://lists.opensuse.org/opensuse-security-announce/2019-06/msg00013.html
http://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html
http://www.securityfocus.com/bid/106596
https://access.redhat.com/errata/RHSA-2019:0416
https://access.redhat.com/errata/RHSA-2019:0435
https://access.redhat.com/errata/RHSA-2019:0436
https://access.redhat.com/errata/RHSA-2019:0462
https://access.redhat.com/errata/RHSA-2019:0464
https://access.redhat.com/errata/RHSA-2019:0469
https://access.redhat.com/errata/RHSA-2019:0472
https://access.redhat.com/errata/RHSA-2019:0473
https://access.redhat.com/errata/RHSA-2019:0474
https://access.redhat.com/errata/RHSA-2019:0640
https://access.redhat.com/errata/RHSA-2019:1238
https://lists.debian.org/debian-lts-announce/2019/03/msg00033.html
https://seclists.org/bugtraq/2019/Mar/27
https://security.gentoo.org/glsa/201903-14
https://security.netapp.com/advisory/ntap-20190118-0001/
https://support.hpe.com/hpsc/doc/public/display?docLocale=en_US&docId=emr_na-...
https://usn.ubuntu.com/3875-1/
https://usn.ubuntu.com/3942-1/
https://usn.ubuntu.com/3949-1/
https://www.debian.org/security/2019/dsa-4410

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	netapp	oncommand_unified_manager	*	-
	运行在以下环境
	应用	netapp	oncommand_unified_manager	*	From (including) 7.3
	运行在以下环境
	应用	netapp	oncommand_unified_manager	*	From (including) 9.4
	运行在以下环境
	应用	netapp	oncommand_workflow_automation	*	-
	运行在以下环境
	应用	netapp	snapmanager	-	-
	运行在以下环境
	应用	oracle	jdk	1.7.0	-
	运行在以下环境
	应用	oracle	jdk	1.8.0	-
	运行在以下环境
	应用	oracle	jdk	11.0.1	-
	运行在以下环境
	应用	oracle	jre	1.7.0	-
	运行在以下环境
	应用	oracle	jre	1.8.0	-
	运行在以下环境
	应用	oracle	jre	11.0.1	-
	运行在以下环境
	应用	redhat	satellite	5.8	-
	运行在以下环境
	系统	alibaba_cloud_linux_2.1903	openjdk-7	*		Up to (excluding) 1.7.0.211-2.6.17.1.1.al7
	运行在以下环境
	系统	alpine_3.10	openjdk-7	*		Up to (excluding) 7.211.2.6.17-r0
	运行在以下环境
	系统	alpine_3.11	openjdk-7	*		Up to (excluding) 7.211.2.6.17-r0
	运行在以下环境
	系统	alpine_3.12	openjdk-7	*		Up to (excluding) 7.211.2.6.17-r0
	运行在以下环境
	系统	alpine_3.13	openjdk-7	*		Up to (excluding) 7.211.2.6.17-r0
	运行在以下环境
	系统	alpine_3.14	openjdk-7	*		Up to (excluding) 8.201.08-r0
	运行在以下环境
	系统	alpine_3.15	openjdk-7	*		Up to (excluding) 8.201.08-r0
	运行在以下环境
	系统	alpine_3.6	openjdk-7	*		Up to (excluding) 7.211.2.6.17-r0
	运行在以下环境
	系统	alpine_3.7	openjdk-7	*		Up to (excluding) 7.211.2.6.17-r0
	运行在以下环境
	系统	alpine_3.8	openjdk-7	*		Up to (excluding) 7.211.2.6.17-r0
	运行在以下环境
	系统	alpine_3.9	openjdk-7	*		Up to (excluding) 7.211.2.6.17-r0
	运行在以下环境
	系统	alpine_edge	openjdk-7	*		Up to (excluding) 7.211.2.6.17-r0
	运行在以下环境
	系统	amazon_2	openjdk-7	*		Up to (excluding) 1.7.0-openjdk-devel-1.7.0.211-2.6.17.1.amzn2.0.1
	运行在以下环境
	系统	amazon_AMI	openjdk-7	*		Up to (excluding) 1.7.0-openjdk-src-1.7.0.211-2.6.17.1.79.amzn1
	运行在以下环境
	系统	centos_6	openjdk-7	*		Up to (excluding) src-debug-1.8.0.201.b09-1.el6_10
	运行在以下环境
	系统	centos_7	openjdk-7	*		Up to (excluding) 1.7.0.211-2.6.17.1.el7_6
	运行在以下环境
	系统	centos_8	openjdk-7	*		Up to (excluding) 1.8.0.5.35-3.el8_0
	运行在以下环境
	系统	debian_8	openjdk-7	*		Up to (excluding) 7u95-2.6.4-1~deb8u1
	运行在以下环境
	系统	debian_9	openjdk-7	*		Up to (excluding) 8u212-b01-1~deb9u1
	运行在以下环境
系统	opensuse_Leap_15.0	openjdk-7	*		Up to (excluding) 1.8.0.201-lp150.2.12.1
运行在以下环境
系统	opensuse_Leap_42.3	openjdk-7	*		Up to (excluding) 1.8.0.212-34.1
运行在以下环境
系统	oracle_6	openjdk-7	*		Up to (excluding) 1.7.0.211-2.6.17.1.0.1.el6_10
运行在以下环境
系统	oracle_7	openjdk-7	*		Up to (excluding) 1.7.0.211-2.6.17.1.0.1.el7_6
运行在以下环境
系统	redhat_8	openjdk-7	*		Up to (excluding) 1.8.0.5.35-3.el8_0
运行在以下环境
系统	suse_11_SP4	openjdk-7	*		Up to (excluding) 1.7.1_sr4.40-26.36.1
运行在以下环境
系统	suse_12_SP3	openjdk-7	*		Up to (excluding) 1.7.0.221-43.22.1
运行在以下环境
系统	suse_12_SP4	openjdk-7	*		Up to (excluding) 1.7.0.221-43.22.1
运行在以下环境
系统	ubuntu_16.04	openjdk-7	*		Up to (excluding) 8u191-b12-2ubuntu0.16.04.1
运行在以下环境
系统	ubuntu_18.04	openjdk-7	*		Up to (excluding) 11.0.2+9-3ubuntu1~18.04.3
运行在以下环境
系统	ubuntu_20.04	openjdk-7	*		Up to (excluding) 11.0.1+13-3ubuntu3.19.04.1
运行在以下环境
系统	ubuntu_21.04	openjdk-7	*		Up to (excluding) 11.0.1+13-3ubuntu3.19.04.1

攻击路径远程
攻击复杂度复杂
权限要求无需权限
影响范围越权影响
EXP成熟度未验证
补丁情况官方补丁
数据保密性数据泄露
数据完整性无影响
服务器危害无影响
全网数量 N/A

CWE-ID 漏洞类型 NVD-CWE-noinfo

正文

Oracle Java SE 7u201/8u192/11.0.1 Libraries 访问控制漏洞

漏洞描述

解决建议

参考链接

受影响软件情况

相关阅读

IBM Jazz Reporting Service-Rational-CLM安全绕过管理任务执行漏洞

IBM Tivoli Federated Identity Manager up to 6.2.2 FP15 跨站脚本攻击

IBM WebSphere MQ Light拒绝服务漏洞

IBM Security Network Protection GSKit信息泄露漏洞

发表评论取消回复

还没有评论，来说两句吧...

目录[+]