在MIDI设备处理中使用未初始化的内存

CVE编号

CVE-2018-3157

利用情况

暂无

补丁情况

官方补丁

披露时间

2018-10-17

漏洞描述

Oracle Java SE的Java SE组件中的漏洞(子组件:Sound)。受影响的受支持版本是Java SE: 11。难以利用的漏洞允许通过多个协议进行网络访问的未经身份验证的攻击者危害Java SE。此漏洞的成功攻击可能导致对Java SE可访问数据子集的未授权读访问。注意:此漏洞适用于加载和运行不可信代码(例如，来自internet的代码)并依赖Java沙箱实现安全性的Java部署。此漏洞不适用于Java部署，通常在服务器中，只加载和运行受信任的代码(例如，由管理员安装的代码)。CVSS 3.0基础评分3.7(保密影响)。CVSS矢量：(CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N)

解决建议

厂商已发布了漏洞修复程序，请及时关注更新：https://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html

参考链接
http://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html
http://www.securityfocus.com/bid/105595
http://www.securitytracker.com/id/1041889
https://security.gentoo.org/glsa/201908-10
https://security.netapp.com/advisory/ntap-20181018-0001/

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	oracle	jdk	11.0.0	-
	运行在以下环境
	应用	oracle	jre	11.0.0	-
	运行在以下环境
	系统	opensuse_Leap_15.0	java-11-openjdk	*		Up to (excluding) 11.0.1.0-lp150.2.6.1
	运行在以下环境
	系统	opensuse_Leap_15.0	java-11-openjdk-accessibility	*		Up to (excluding) 11.0.1.0-lp150.2.6.1
	运行在以下环境
	系统	opensuse_Leap_15.0	java-11-openjdk-demo	*		Up to (excluding) 11.0.1.0-lp150.2.6.1
	运行在以下环境
	系统	opensuse_Leap_15.0	java-11-openjdk-devel	*		Up to (excluding) 11.0.1.0-lp150.2.6.1
	运行在以下环境
	系统	opensuse_Leap_15.0	java-11-openjdk-headless	*		Up to (excluding) 11.0.1.0-lp150.2.6.1
	运行在以下环境
	系统	opensuse_Leap_15.0	java-11-openjdk-javadoc	*		Up to (excluding) 11.0.1.0-lp150.2.6.1
	运行在以下环境
	系统	opensuse_Leap_15.0	java-11-openjdk-jmods	*		Up to (excluding) 11.0.1.0-lp150.2.6.1
	运行在以下环境
	系统	opensuse_Leap_15.0	java-11-openjdk-src	*		Up to (excluding) 11.0.1.0-lp150.2.6.1

攻击路径远程
攻击复杂度复杂
权限要求无需权限
影响范围越权影响
EXP成熟度未验证
补丁情况官方补丁
数据保密性数据泄露
数据完整性无影响
服务器危害无影响
全网数量 N/A

CWE-ID 漏洞类型 NVD-CWE-noinfo

正文

在MIDI设备处理中使用未初始化的内存

漏洞描述

解决建议

参考链接

受影响软件情况

相关阅读

IBM Tivoli Federated Identity Manager up to 6.2.2 FP15 跨站脚本攻击

IBM WebSphere MQ Light拒绝服务漏洞

IBM Security Network Protection GSKit信息泄露漏洞

NetApp Data ONTAP信息泄露漏洞

发表评论取消回复

还没有评论，来说两句吧...

目录[+]