Oracle Java bis 5.0 Update 45/6 Update 45/7 Update 21 2D Remote Code Execution

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
9.4$0-$5k0.00

Zusammenfassunginfo

Es wurde eine als kritisch klassifizierte Schwachstelle in Oracle Java bis 5.0 Update 45/6 Update 45/7 Update 21 entdeckt. Dabei geht es um eine nicht genauer bekannte Funktion der Komponente 2D. Durch das Beeinflussen mit unbekannten Daten kann eine Remote Code Execution-Schwachstelle ausgenutzt werden. Die Identifikation der Schwachstelle wird mit CVE-2013-2471 vorgenommen. Es existiert kein Exploit. Ein Upgrade der betroffenen Komponente wird empfohlen.

Detailsinfo

Es wurde eine Schwachstelle in Oracle Java bis 5.0 Update 45/6 Update 45/7 Update 21 (Programming Language Software) gefunden. Sie wurde als sehr kritisch eingestuft. Es geht dabei um ein unbekannter Teil der Komponente 2D. Durch das Manipulieren mit einer unbekannten Eingabe kann eine Remote Code Execution-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-192 vorgenommen. Das hat Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:

Unspecified vulnerability in the Java Runtime Environment (JRE) component in Oracle Java SE 7 Update 21 and earlier, 6 Update 45 and earlier, and 5.0 Update 45 and earlier, and OpenJDK 7, allows remote attackers to affect confidentiality, integrity, and availability via unknown vectors related to 2D. NOTE: the previous information is from the June 2013 CPU. Oracle has not commented on claims from another vendor that this issue allows remote attackers to bypass the Java sandbox via vectors related to "Incorrect IntegerComponentRaster size checks."

Die Schwachstelle wurde am 18.06.2013 von Oracle als Oracle Java SE Critical Patch Update Advisory - June 2013 in Form eines nicht definierten Advisories (Website) publik gemacht. Das Advisory kann von oracle.com heruntergeladen werden. Die Verwundbarkeit wird seit dem 05.03.2013 unter CVE-2013-2471 geführt. Sie gilt als leicht ausnutzbar. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt. Es muss davon ausgegangen werden, dass ein Exploit zur Zeit etwa USD $0-$5k kostet (Preisberechnung vom 17.05.2021). Es kann davon ausgegangen werden, dass sich die Exploit-Preise für dieses Produkt in Zukunft fallend verhalten werden.

Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 69762 (Amazon Linux AMI : java-1.7.0-openjdk (ALAS-2013-204)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Amazon Linux Local Security Checks zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 350537 (Amazon Linux Security Advisory for java-1.6.0-openjdk: ALAS-2013-207) zur Prüfung der Schwachstelle an.

Ein Upgrade vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Oracle hat sofort reagiert. Das Advisory stellt fest:

Due to the threat posed by a successful attack, Oracle strongly recommends that customers apply CPU fixes as soon as possible.
Heise weist darauf hin, dass "dies das letzte planmässige Java-Update ausserhalb von Oracles üblichem dreimonatigem Zyklus sein [wird]. Ab Mitte Oktober integriert es die Java-Korrekturen mit allen übrigen Patches." Angriffe können durch Snort ID 28428 erkannt werden. Weiterführend können Angriffe durch TippingPoint mittels dem Filter 13246 erkannt werden.

Unter anderem wird der Fehler auch in den Datenbanken von Tenable (69762), SecurityFocus (BID 60556†), Secunia (SA54154†) und Vulnerability Center (SBV-40060†) dokumentiert. Heise diskutiert den Sachverhalt in deutscher Sprache. Weitere Informationen werden unter grahamcluley.com bereitgestellt. Die Einträge VDB-9226, VDB-9199, VDB-9223 und VDB-9230 sind sehr ähnlich. VulDB is the best source for vulnerability data and more expert information about this specific topic.

Produktinfo

Typ

Hersteller

Name

Version

Lizenz

Webseite

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 9.8
VulDB Meta Temp Score: 9.4

VulDB Base Score: 9.8
VulDB Temp Score: 9.4
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Remote Code Execution
CWE: CWE-192 / CWE-189
CAPEC: 🔍
ATT&CK: 🔍

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Nicht definiert

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Nessus ID: 69762
Nessus Name: Amazon Linux AMI : java-1.7.0-openjdk (ALAS-2013-204)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍

OpenVAS ID: 892722
OpenVAS Name: Debian Security Advisory DSA 2722-1 (openjdk-7 - several vulnerabilities
OpenVAS Datei: 🔍
OpenVAS Family: 🔍

Saint ID: exploit_info/jre_awt_integercomponentraster
Saint Name: Java Runtime Environment java.awt.image.IntegerComponentRaster buffer overflow

Qualys ID: 🔍
Qualys Name: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Snort ID: 28428
Snort Message: EXPLOIT-KIT Glazunov exploit kit landing page
Snort Klasse: 🔍

Suricata ID: 2017772
Suricata Klasse: 🔍
Suricata Message: 🔍

TippingPoint: 🔍

McAfee IPS: 🔍
McAfee IPS Version: 🔍

ISS Proventia IPS: 🔍
PaloAlto IPS: 🔍
Fortigate IPS: 🔍

Timelineinfo

05.03.2013 🔍
13.06.2013 +100 Tage 🔍
13.06.2013 +0 Tage 🔍
18.06.2013 +5 Tage 🔍
18.06.2013 +0 Tage 🔍
18.06.2013 +0 Tage 🔍
19.06.2013 +1 Tage 🔍
19.06.2013 +0 Tage 🔍
17.07.2013 +28 Tage 🔍
17.05.2021 +2861 Tage 🔍

Quelleninfo

Hersteller: oracle.com

Advisory: Oracle Java SE Critical Patch Update Advisory - June 2013
Firma: Oracle
Status: Nicht definiert
Bestätigung: 🔍

CVE: CVE-2013-2471 (🔍)
GCVE (CVE): GCVE-0-2013-2471
GCVE (VulDB): GCVE-100-9192

OVAL: 🔍
IAVM: 🔍

SecurityFocus: 60556 - Oracle Java SE Critical Patch Update June 2013 Advance Notification
Secunia: 54154 - IBM Java Multiple Vulnerabilities, Highly Critical
Vulnerability Center: 40060 - [javacpujun2013-1899847] Oracle Java JRE Unspecified Remote Code Execution Vulnerability Related to 2D - CVE-2013-2471, Critical

Heise: 1892061
Diverses: 🔍
Siehe auch: 🔍

Eintraginfo

Erstellt: 19.06.2013 10:34
Aktualisierung: 17.05.2021 08:18
Anpassungen: 19.06.2013 10:34 (99), 03.05.2017 16:21 (5), 17.05.2021 08:18 (3)
Komplett: 🔍
Cache ID: 216::103

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Might our Artificial Intelligence support you?

Check our Alexa App!