Vulnerability ID 4360

Sun Java JDK/JRE/SDK bis 1.6.x/6.x unbekannte Schwachstelle

Sun
CVSSv3 Temp ScoreAktueller Exploitpreis (≈)
9.4$2k-$5k

Die Java-Technik (englisch Java Technology) ist eine ursprünglich von Sun entwickelte Sammlung von Spezifikationen, die einerseits die Programmiersprache Java und andererseits verschiedene Laufzeitumgebungen für Computerprogramme definieren. Diese Computerprogramme werden meistens in Java geschrieben. Ein Kollektiv von Researchern (siehe Original Advisory für Credits) identifizierte diverse Schwachstellen in aktuellen Versionen des Produktes. Die gelisteten Schwachstellen sind teilweise als kritisch zu betrachten und können teilweise zur kompletten Kompromittierung des Zielsystems führen. The vulnerability is also documented in the databases at SecurityFocus (BID 48133), Secunia (SA44784) and Vulnerability Center (SBV-31712). Similar entries are available at 57658, 57662, 57664 and 57665.

Für den Vulnerability Scanner Nessus wurde am 13.06.2014 ein Plugin mit der ID 75542 (openSUSE Security Update : java-1_6_0-sun (openSUSE-SU-2011:0633-1)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family SuSE Local Security Checks zugeordnet, im Kontext local ausgeführt und auf den Port 0 angewendet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 119319 zur Prüfung der Schwachstelle an.

Die vorliegenden Schwachstellen sind als teilweise kritisch zu betrachten und sollten zeitnah durch das Einspielen entsprechender kumulativer Patchpakete oder individueller Patches mitigiert werden.

CVSSv3

Base Score: 9.8 [?]
Temp Score: 9.4 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:X/RL:O/RC:X [?]
Zuverlässigkeit: High

CVSSv2

Base Score: 9.3 (CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C) [?]
Temp Score: 8.1 (CVSS2#E:ND/RL:OF/RC:ND) [?]
Zuverlässigkeit: High

AVACAuCIA
LHMNNN
AMSPPP
NLNCCC
VectorComplexityAuthenticationConfidentialityIntegrityAvailability
LocalHighMultipleNoneNoneNone
AdjacentMediumSinglePartialPartialPartial
NetworkLowNoneCompleteCompleteComplete

CPE

Exploiting

Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $25k-$50k (0-day) / $2k-$5k (Heute)

0-Day$0-$1k$1k-$2k$2k-$5k$5k-$10k$10k-$25k$25k-$50k$50k-$100k$100k-$500k
Heute$0-$1k$1k-$2k$2k-$5k$5k-$10k$10k-$25k$25k-$50k$50k-$100k$100k-$500k


Nessus ID: 75542
Nessus Name: openSUSE Security Update : java-1_6_0-sun (openSUSE-SU-2011:0633-1)
Nessus File: hp_systems_insight_manager_700_multiple_vulns.nasl
Nessus Family: SuSE Local Security Checks
Nessus Context: local
Nessus Port: 0
OpenVAS ID: 902525
OpenVAS Name: Oracle Java SE Multiple Unspecified Vulnerabilities 01 - June11 (Windows)
OpenVAS File: secpod_oracle_java_mult_unspecified_vuln_win01_jun11.nasl
OpenVAS Family: General
Qualys ID: 119319

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden

Patch: oracle.com

Timeline

04.02.2011 CVE zugewiesen
07.06.2011 +123 Tage Gegenmassnahme veröffentlicht
07.06.2011 +0 Tage VulnerabilityCenter Eintrag zugewiesen
08.06.2011 +1 Tage Advisory veröffentlicht
09.06.2011 +1 Tage VulnerabilityCenter Eintrag erstellt
14.06.2011 +5 Tage NVD veröffentlicht
20.06.2011 +6 Tage VulDB Eintrag erstellt
13.06.2014 +1089 Tage Nessus Plugin veröffentlicht
22.03.2015 +282 Tage VulnerabilityCenter Eintrag aktualisiert
08.07.2015 +109 Tage VulDB Eintrag aktualisiert

Quellen

Advisory: oracle.com
Firma: Oracle
Bestätigung: oracle.com

CVE: CVE-2011-0786 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityFocus: 48133 - Oracle Java SE and Java for Business CVE-2011-0786 Remote Java Runtime Environment Vulnerability
Secunia: 44784 - Sun Java JDK / JRE / SDK Multiple Vulnerabilities, Highly Critical
Vulnerability Center: 31712 - [javacpujune2011-313339] Oracle JRE Deployment component 1.6.0-1.6.0_25 Remote Unspecified Vulnerability (CVE-2011-0786), High

Siehe auch: 57658, 57662, 57664, 57665

Eintrag

Erstellt: 20.06.2011
Aktualisierung: 08.07.2015
Eintrag: 91.4% komplett