Vulnerability ID 5541

Oracle Java SE JRE bis 7 Update 4 Security Denial of Service

Oracle
CVSSv3 Temp ScoreAktueller Exploitpreis (≈)
7.2$0-$1k

Es wurde eine Schwachstelle in Oracle Java SE JRE bis 7 Update 4 ausgemacht. Sie wurde als kritisch eingestuft. Hiervon betroffen ist eine unbekannte Funktion der Komponente Security. Durch Manipulieren mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle ausgenutzt werden. Auswirkungen hat dies auf die Verfügbarkeit.

Die Schwachstelle wurde am 12.06.2012 in Form eines Bulletins publiziert. Das Advisory kann von oracle.com heruntergeladen werden. Die Herausgabe passierte in Zusammenarbeit mit Oracle. Die Identifikation der Schwachstelle wird seit dem 16.03.2012 mit CVE-2012-1718 vorgenommen. Das Ausnutzen gilt als leicht. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind zwar keine technische Details, jedoch ein privater Exploit zur Schwachstelle bekannt.

Für den Vulnerability Scanner Nessus wurde am 22.08.2012 ein Plugin mit der ID 802948 (Oracle Java SE Java Runtime Environment Multiple Unspecified Vulnerabilities - (Windows)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family General zugeordnet.

Die Schwachstelle lässt sich durch das Einspielen eines Patches lösen. Dieser kann von oracle.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Oracle hat daher sofort gehandelt. Für Mac OS X 10.6 und 10.7 bietet Apple ebenfalls eine aktuelle Version von Java 6 an. Sie erscheint damit erstmals seit längerem gleichzeitig mit der Windows-Version.

Mitunter wird der Fehler auch in den Datenbanken von SecurityFocus (BID 53951), Secunia (SA49472) und Vulnerability Center (SBV-35337) dokumentiert. Das deutsche IT-Nachrichtenportal Heise berichtet ebenfalls über den Fall. Weitere Informationen werden unter support.apple.com bereitgestellt. Mit dieser Schwachstelle verwandte Einträge finden sich unter 5539, 5540, 5542 und 5543.

CVSSv3

Base Score: 7.5 [?]
Temp Score: 7.2 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H/E:X/RL:O/RC:X [?]
Zuverlässigkeit: High

CVSSv2

Base Score: 7.8 (CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C) [?]
Temp Score: 6.8 (CVSS2#E:ND/RL:OF/RC:ND) [?]
Zuverlässigkeit: High

AVACAuCIA
LHMNNN
AMSPPP
NLNCCC
VectorComplexityAuthenticationConfidentialityIntegrityAvailability
LocalHighMultipleNoneNoneNone
AdjacentMediumSinglePartialPartialPartial
NetworkLowNoneCompleteCompleteComplete

CPE

Exploiting

Klasse: Denial of Service
Lokal: Nein
Remote: Ja

Verfügbarkeit: Ja
Zugang: Privat

Aktuelle Preisschätzung: $5k-$10k (0-day) / $0-$1k (Heute)

0-Day$0-$1k$1k-$2k$2k-$5k$5k-$10k$10k-$25k$25k-$50k$50k-$100k$100k-$500k
Heute$0-$1k$1k-$2k$2k-$5k$5k-$10k$10k-$25k$25k-$50k$50k-$100k$100k-$500k


Nessus ID: 802948
Nessus Name: Oracle Java SE Java Runtime Environment Multiple Unspecified Vulnerabilities - (Windows)
Nessus File: ala_ALAS-2012-88.nasl
Nessus Risk: Critical
Nessus Family: General
OpenVAS ID: 71486
OpenVAS Name: Debian Security Advisory DSA 2507-1 (openjdk-6)
OpenVAS File: deb_2507_1.nasl
OpenVAS Family: Debian Local Security Checks

Gegenmassnahmen

Empfehlung: Patch
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt

Patch: oracle.com

Timeline

16.03.2012 CVE zugewiesen
12.06.2012 +88 Tage Advisory veröffentlicht
12.06.2012 +0 Tage Gegenmassnahme veröffentlicht
12.06.2012 +0 Tage OSVDB Eintrag erstellt
14.06.2012 +2 Tage VulDB Eintrag erstellt
16.06.2012 +2 Tage NVD veröffentlicht
16.06.2012 +0 Tage VulnerabilityCenter Eintrag zugewiesen
18.06.2012 +2 Tage VulnerabilityCenter Eintrag erstellt
22.08.2012 +65 Tage Nessus Plugin veröffentlicht
22.03.2015 +942 Tage VulnerabilityCenter Eintrag aktualisiert
08.07.2015 +109 Tage VulDB Eintrag aktualisiert

Quellen

Advisory: oracle.com
Koordiniert: Ja

CVE: CVE-2012-1718 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityFocus: 53951
Secunia: 49472 - Oracle Java Multiple Vulnerabilities, Highly Critical
Vulnerability Center: 35337 - [javacpujun2012-1515912] JRE Component in Oracle SE Remote Unspecified Vulnerability via Unknown Vectors Related to Security, Medium
OSVDB: 82884

Heise: 1616562
Diverses: support.apple.com
Siehe auch: 5539, 5540, 5542, 5543, 5544, 5545, 5546, 5547, 5548, 5549, 5550, 5551

Eintrag

Erstellt: 14.06.2012
Aktualisierung: 08.07.2015
Eintrag: 91.4% komplett