Vulnerability ID 5545

Oracle Java SE JRE bis 7 Update 4 CORBA unbekannte Schwachstelle

Oracle
CVSSv2 Temp ScoreAktueller Exploitpreis
5.9$2k-$5k

In Oracle Java SE JRE bis 7 Update 4 wurde eine problematische Schwachstelle entdeckt. Es geht um eine unbekannte Funktion der Komponente CORBA. Dies hat Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 12.06.2012 in Form eines Bulletins öffentlich gemacht. Bereitgestellt wird das Advisory unter oracle.com. Die Veröffentlichung passierte hierbei in Koordination mit Oracle. Die Verwundbarkeit wird seit dem 16.03.2012 als CVE-2012-1711 geführt. Der Angriff kann über das Netzwerk angegangen werden. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Es sind zwar keine technische Details, jedoch ein privater Exploit zur Schwachstelle bekannt.

Für den Vulnerability Scanner Nessus wurde am 13.06.2014 ein Plugin mit der ID 74670 (openSUSE Security Update : java-1_6_0-openjdk (openSUSE-SU-2012:0828-1)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family SuSE Local Security Checks zugeordnet, im Kontext local ausgeführt und auf den Port 0 angewendet.

Die Schwachstelle lässt sich durch das Einspielen eines Patches lösen. Dieser kann von oracle.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Oracle hat demnach sofort gehandelt. Für Mac OS X 10.6 und 10.7 bietet Apple ebenfalls eine aktuelle Version von Java 6 an. Sie erscheint damit erstmals seit längerem gleichzeitig mit der Windows-Version.

Mitunter wird der Fehler auch in den Datenbanken von OSVDB (82880), SecurityFocus (BID 53949) und Secunia (SA49472) dokumentiert. Heise diskutiert den Sachverhalt in deutscher Sprache. Zusätzliche Informationen finden sich unter support.apple.com. Mit dieser Schwachstelle verwandte Einträge finden sich unter 5539, 5540, 5541 und 5542.

CVSS

Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]
Temp Score: 5.9 (CVSS2#E:ND/RL:OF/RC:ND) [?]

Access VectorAccess ComplexityAuthenticationConfidentialityIntegrityAvailability
LocalHighMultipleNoneNoneNone
AdjacentMediumSinglePartialPartialPartial
NetworkLowNoneCompleteCompleteComplete

CPE

Exploiting

Lokal: Nein
Remote: Ja

Verfügbarkeit: Ja
Zugang: Privat

Aktuelle Preisschätzung:

0-Day$0-$1k$1k-$2k$2k-$5k$5k-$10k$10k-$25k$25k-$50k$50k-$100k$100k-$500k
Heute$0-$1k$1k-$2k$2k-$5k$5k-$10k$10k-$25k$25k-$50k$50k-$100k$100k-$500k


Nessus ID: 74670
Nessus Name: openSUSE Security Update : java-1_6_0-openjdk (openSUSE-SU-2012:0828-1)
Nessus File: ala_ALAS-2012-88.nasl
Nessus Family: SuSE Local Security Checks
Nessus Context: local
Nessus Port: 0
OpenVAS ID: 71486
OpenVAS Name: Debian Security Advisory DSA 2507-1 (openjdk-6)
OpenVAS File: deb_2507_1.nasl
OpenVAS Family: Debian Local Security Checks

Gegenmassnahmen

Empfehlung: Patch
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt

Patch: oracle.com

Timeline

16.03.2012 | CVE zugewiesen
12.06.2012 | Advisory veröffentlicht
12.06.2012 | Gegenmassnahme veröffentlicht
12.06.2012 | OSVDB Eintrag erstellt
14.06.2012 | VulDB Eintrag erstellt
16.06.2012 | NVD veröffentlicht
16.06.2012 | VulnerabilityCenter Eintrag zugewiesen
18.06.2012 | VulnerabilityCenter Eintrag erstellt
13.06.2014 | Nessus Plugin veröffentlicht
22.03.2015 | VulnerabilityCenter Eintrag aktualisiert
08.07.2015 | VulDB Eintrag aktualisiert

Quellen

Advisory: oracle.com
Koordiniert: Ja

CVE: CVE-2012-1711 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityFocus: 53949
Secunia: 49472 - Oracle Java Multiple Vulnerabilities, Highly Critical
Vulnerability Center: 35335 - [javacpujun2012-1515912] JRE Component in Oracle Java SE Remote Unspecified Vulnerability via Vectors Related to COBRA, High
OSVDB: 82880

Heise: 1616562
Diverses: support.apple.com
Siehe auch: 5539, 5540, 5541, 5542, 5543, 5544, 5546, 5547, 5548, 5549, 5550 , 5551

Eintrag

Erstellt: 14.06.2012
Aktualisierung: 08.07.2015
Eintrag: 91.1% komplett