Oracle Java SE 6u113/7u99/8u77 Hotspot Remote Code Execution
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 9.4 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine Schwachstelle mit der Einstufung sehr kritisch in Oracle Java SE 6u113/7u99/8u77 gefunden. Betroffen ist eine unbekannte Funktion der Komponente Hotspot. Die Manipulation führt zu Remote Code Execution. Die Identifikation der Schwachstelle wird mit CVE-2016-0687 vorgenommen. Ein Angriff ist aus der Distanz möglich. Es existiert kein Exploit. Ein Upgrade der betroffenen Komponente wird empfohlen.
Details
Eine Schwachstelle wurde in Oracle Java SE 6u113/7u99/8u77 (Programming Language Software) gefunden. Sie wurde als sehr kritisch eingestuft. Dies betrifft ein unbekannter Teil der Komponente Hotspot. Durch das Beeinflussen mit einer unbekannten Eingabe kann eine Remote Code Execution-Schwachstelle ausgenutzt werden. Mit Auswirkungen muss man rechnen für Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
Unspecified vulnerability in Oracle Java SE 6u113, 7u99, and 8u77 and Java SE Embedded 8u77 allows remote attackers to affect confidentiality, integrity, and availability via vectors related to the Hotspot sub-component.Die Schwachstelle wurde am 19.04.2016 von Oracle als Oracle Critical Patch Update Advisory - April 2016 in Form eines bestätigten Advisories (Website) veröffentlicht. Das Advisory kann von oracle.com heruntergeladen werden. Die Identifikation der Schwachstelle findet seit dem 09.12.2015 als CVE-2016-0687 statt. Sie ist leicht auszunutzen. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Es wird vorausgesetzt, dass das Opfer eine spezifische Handlung vornimmt. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt. Es muss davon ausgegangen werden, dass ein Exploit zur Zeit etwa USD $0-$5k kostet (Preisberechnung vom 26.07.2022). Es kann davon ausgegangen werden, dass sich die Exploit-Preise für dieses Produkt in Zukunft fallend verhalten werden.
Als 0-Day erzielte der Exploit wohl etwa $25k-$100k auf dem Schwarzmarkt. Für den Vulnerability Scanner Nessus wurde am 01.05.2017 ein Plugin mit der ID 99778 (EulerOS 2.0 SP1 : java-1.7.0-openjdk (EulerOS-SA-2016-1015)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Huawei Local Security Checks zugeordnet und im Kontext l ausgeführt. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 124624 (Red Hat Update for java-1.6.0-openjdk security (RHSA-2016:0723)) zur Prüfung der Schwachstelle an.
Ein Upgrade vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Oracle hat hiermit sofort reagiert.
Unter anderem wird der Fehler auch in den Datenbanken von Tenable (99778) und SecurityFocus (BID 86459†) dokumentiert. Die Einträge VDB-12776, VDB-78153, VDB-82623 und VDB-82615 sind sehr ähnlich. Once again VulDB remains the best source for vulnerability data.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.oracle.com
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 9.6VulDB Meta Temp Score: 9.4
VulDB Base Score: 9.6
VulDB Temp Score: 9.2
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 9.6
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Remote Code ExecutionCWE: Unbekannt
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 99778
Nessus Name: EulerOS 2.0 SP1 : java-1.7.0-openjdk (EulerOS-SA-2016-1015)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
OpenVAS ID: 14611
OpenVAS Name: Amazon Linux Local Check: alas-2016-700
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Timeline
09.12.2015 🔍19.04.2016 🔍
19.04.2016 🔍
19.04.2016 🔍
21.04.2016 🔍
21.04.2016 🔍
01.05.2017 🔍
26.07.2022 🔍
Quellen
Hersteller: oracle.comAdvisory: Oracle Critical Patch Update Advisory - April 2016
Firma: Oracle
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2016-0687 (🔍)
GCVE (CVE): GCVE-0-2016-0687
GCVE (VulDB): GCVE-100-82652
OVAL: 🔍
SecurityFocus: 86459 - Oracle Java SE CVE-2016-0687 Remote Security Vulnerability
SecurityTracker: 1035596
Siehe auch: 🔍
Eintrag
Erstellt: 21.04.2016 09:01Aktualisierung: 26.07.2022 07:50
Anpassungen: 21.04.2016 09:01 (53), 20.10.2018 09:14 (29), 26.07.2022 07:50 (4)
Komplett: 🔍
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.