Vulnerability ID 5544

Oracle Java SE JRE 7 Update 4 Libraries unbekannte Schwachstelle

Oracle
CVSSv3 Temp ScoreAktueller Exploitpreis (≈)
6.2$0-$1k

Es wurde eine kritische Schwachstelle in Oracle Java SE JRE 7 Update 4 entdeckt. Betroffen hiervon ist eine unbekannte Funktion der Komponente Libraries. Das hat Auswirkungen auf Vertraulichkeit und Integrität.

Eingeführt wurde der Fehler am 26.04.2012. Die Schwachstelle wurde am 12.06.2012 von Oracle in Form eines Bulletins publik gemacht. Das Advisory kann von oracle.com heruntergeladen werden. Die Veröffentlichung geschah dabei in Koordination mit dem Hersteller. Die Verwundbarkeit wird seit dem 16.03.2012 unter CVE-2012-1726 geführt. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind zwar keine technische Details, jedoch ein privater Exploit zur Schwachstelle bekannt.

Insgesamt wurde die Schwachstelle mindestens 47 Tage als nicht öffentlicher Zero-Day gehandelt. Während dieser Zeit erzielte er wohl etwa $10k-$25k auf dem Schwarzmarkt. Für den Vulnerability Scanner Nessus wurde am 22.08.2012 ein Plugin mit der ID 802950 (Oracle Java SE Java Runtime Environment Unspecified Vulnerability - (Windows)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family General zugeordnet.

Die Schwachstelle lässt sich durch das Einspielen eines Patches beheben. Dieser kann von oracle.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Oracle hat sofort reagiert. Für Mac OS X 10.6 und 10.7 bietet Apple ebenfalls eine aktuelle Version von Java 6 an. Sie erscheint damit erstmals seit längerem gleichzeitig mit der Windows-Version.

Mitunter wird der Fehler auch in den Datenbanken von SecurityFocus (BID 53948), Secunia (SA49472), SecurityTracker (ID 1027153) und Vulnerability Center (SBV-35345) dokumentiert. In deutscher Sprache berichtet unter anderem Heise zum Fall. Schwachstellen ähnlicher Art sind dokumentiert unter 5539, 5540, 5541 und 5542.

CVSSv3

Base Score: 6.5 [?]
Temp Score: 6.2 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N/E:X/RL:O/RC:X [?]
Zuverlässigkeit: High

CVSSv2

Base Score: 5.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N) [?]
Temp Score: 5.0 (CVSS2#E:ND/RL:OF/RC:ND) [?]
Zuverlässigkeit: High

AVACAuCIA
LHMNNN
AMSPPP
NLNCCC
VectorComplexityAuthenticationConfidentialityIntegrityAvailability
LocalHighMultipleNoneNoneNone
AdjacentMediumSinglePartialPartialPartial
NetworkLowNoneCompleteCompleteComplete

CPE

Exploiting

Lokal: Nein
Remote: Ja

Verfügbarkeit: Ja
Zugang: Privat

Aktuelle Preisschätzung: $10k-$25k (0-day) / $0-$1k (Heute)

0-Day$0-$1k$1k-$2k$2k-$5k$5k-$10k$10k-$25k$25k-$50k$50k-$100k$100k-$500k
Heute$0-$1k$1k-$2k$2k-$5k$5k-$10k$10k-$25k$25k-$50k$50k-$100k$100k-$500k


Nessus ID: 802950
Nessus Name: Oracle Java SE Java Runtime Environment Unspecified Vulnerability - (Windows)
Nessus File: centos_RHSA-2012-1009.nasl
Nessus Risk: High
Nessus Family: General
OpenVAS ID: 881127
OpenVAS Name: CentOS Update for java CESA-2012:1009 centos6
OpenVAS File: gb_CESA-2012_1009_java_centos6.nasl
OpenVAS Family: CentOS Local Security Checks

Gegenmassnahmen

Empfehlung: Patch
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 47 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt

Patch: oracle.com

Timeline

16.03.2012 CVE zugewiesen
26.04.2012 +41 Tage Schwachstelle eingeführt
12.06.2012 +47 Tage Advisory veröffentlicht
12.06.2012 +0 Tage Gegenmassnahme veröffentlicht
12.06.2012 +0 Tage OSVDB Eintrag erstellt
14.06.2012 +2 Tage VulDB Eintrag erstellt
16.06.2012 +2 Tage NVD veröffentlicht
16.06.2012 +0 Tage VulnerabilityCenter Eintrag zugewiesen
18.06.2012 +2 Tage VulnerabilityCenter Eintrag erstellt
22.08.2012 +65 Tage Nessus Plugin veröffentlicht
22.03.2015 +942 Tage VulnerabilityCenter Eintrag aktualisiert
08.07.2015 +109 Tage VulDB Eintrag aktualisiert

Quellen

Advisory: oracle.com
Firma: Oracle
Bestätigung: oracle.com
Koordiniert: Ja

CVE: CVE-2012-1726 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityFocus: 53948 - Oracle Java SE CVE-2012-1726 Remote Java Runtime Environment Vulnerability
Secunia: 49472 - Oracle Java Multiple Vulnerabilities, Highly Critical
SecurityTracker: 1027153 - Oracle Java SE Multiple Flaws Let Remote Users Execute Arbitrary Code and Deny Service
Vulnerability Center: 35345 - [javacpujun2012-1515912] JRE Component in Oracle Java SE Remote Unspecified Vulnerability via Vectors Related to Libraries, Medium
OSVDB: 82881 - Oracle Java SE / JRE Libraries Sub-component Unspecified Remote Issue

Heise: 1616562
Siehe auch: 5539, 5540, 5541, 5542, 5543, 5545, 5546, 5547, 5548, 5549, 5550, 5551

Eintrag

Erstellt: 14.06.2012
Aktualisierung: 08.07.2015
Eintrag: 93.4% komplett