Oracle Java bis 5.0 Update 45/6 Update 45/7 Update 21 Library Information Disclosure
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.1 | $0-$5k | 0.00 |
Zusammenfassung
In Oracle Java bis 5.0 Update 45/6 Update 45/7 Update 21 wurde eine problematische Schwachstelle gefunden. Hiervon betroffen ist ein unbekannter Codeblock der Komponente Bibliothek. Durch Beeinflussen mit unbekannten Daten kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Die Identifikation der Schwachstelle findet als CVE-2013-2452 statt. Es steht kein Exploit zur Verfügung. Es wird geraten, die betroffene Komponente zu aktualisieren.
Details
Eine problematische Schwachstelle wurde in Oracle Java bis 5.0 Update 45/6 Update 45/7 Update 21 (Programming Language Software) gefunden. Es geht hierbei um eine unbekannte Funktionalität der Komponente Library. Durch die Manipulation mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-192. Auswirkungen hat dies auf die Vertraulichkeit. Die Zusammenfassung von CVE lautet:
Unspecified vulnerability in the Java Runtime Environment (JRE) component in Oracle Java SE 7 Update 21 and earlier, 6 Update 45 and earlier, and 5.0 Update 45 and earlier, and OpenJDK 7, allows remote attackers to affect confidentiality via unknown vectors related to Libraries, a different vulnerability than CVE-2013-2443 and CVE-2013-2455. NOTE: the previous information is from the June 2013 CPU. Oracle has not commented on claims from another vendor that this issue is related to "network address handling in virtual machine identifiers" and the lack of "unique and unpredictable IDs" in the java.rmi.dgc.VMID class.Die Schwachstelle wurde am 18.06.2013 von Oracle als Oracle Java SE Critical Patch Update Advisory - June 2013 in Form eines nicht definierten Advisories (Website) herausgegeben. Bereitgestellt wird das Advisory unter oracle.com. Die Verwundbarkeit wird seit dem 05.03.2013 mit der eindeutigen Identifikation CVE-2013-2452 gehandelt. Sie ist leicht ausnutzbar. Umgesetzt werden kann der Angriff über das Netzwerk. Das Ausnutzen erfordert keine spezifische Authentisierung. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar.
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 69762 (Amazon Linux AMI : java-1.7.0-openjdk (ALAS-2013-204)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Amazon Linux Local Security Checks zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 185048 (HP-UX Running Java6 Multiple Vulnerabilities (HPSBUX02908)) zur Prüfung der Schwachstelle an.
Ein Aktualisieren vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Oracle hat so sofort gehandelt. Das Advisory stellt fest:
Due to the threat posed by a successful attack, Oracle strongly recommends that customers apply CPU fixes as soon as possible. Heise weist darauf hin, dass "dies das letzte planmässige Java-Update ausserhalb von Oracles üblichem dreimonatigem Zyklus sein [wird]. Ab Mitte Oktober integriert es die Java-Korrekturen mit allen übrigen Patches."Unter anderem wird der Fehler auch in den Datenbanken von X-Force (85055), Tenable (69762), SecurityFocus (BID 60617†), Secunia (SA54154†) und Vulnerability Center (SBV-40084†) dokumentiert. Ein Bericht in deutscher Sprache wird unter anderem durch Heise bereitgestellt. Unter grahamcluley.com werden zusätzliche Informationen bereitgestellt. Mit dieser Schwachstelle verwandte Einträge finden sich unter VDB-8289, VDB-9226, VDB-9199 und VDB-9223. If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.oracle.com
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.3VulDB Meta Temp Score: 5.1
VulDB Base Score: 5.3
VulDB Temp Score: 5.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Information DisclosureCWE: CWE-192 / CWE-189
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 69762
Nessus Name: Amazon Linux AMI : java-1.7.0-openjdk (ALAS-2013-204)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
OpenVAS ID: 892722
OpenVAS Name: Debian Security Advisory DSA 2722-1 (openjdk-7 - several vulnerabilities
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Timeline
05.03.2013 🔍18.06.2013 🔍
18.06.2013 🔍
18.06.2013 🔍
18.06.2013 🔍
18.06.2013 🔍
19.06.2013 🔍
19.06.2013 🔍
17.07.2013 🔍
17.05.2021 🔍
Quellen
Hersteller: oracle.comAdvisory: Oracle Java SE Critical Patch Update Advisory - June 2013
Firma: Oracle
Status: Nicht definiert
Bestätigung: 🔍
CVE: CVE-2013-2452 (🔍)
GCVE (CVE): GCVE-0-2013-2452
GCVE (VulDB): GCVE-100-9221
OVAL: 🔍
IAVM: 🔍
X-Force: 85055
SecurityFocus: 60617 - Oracle Java SE CVE-2013-2452 Remote Security Vulnerability
Secunia: 54154 - IBM Java Multiple Vulnerabilities, Highly Critical
Vulnerability Center: 40084 - [javacpujun2013-1899847] Oracle Java JRE Remote Leakage of Information Vulnerability Related to Libraries - CVE-2013-2452, Medium
Heise: 1892061
Diverses: 🔍
Siehe auch: 🔍
Eintrag
Erstellt: 19.06.2013 10:34Aktualisierung: 17.05.2021 09:22
Anpassungen: 19.06.2013 10:34 (87), 03.05.2017 16:30 (3), 17.05.2021 09:22 (3)
Komplett: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.