简介
远程 Debian 主机上缺少一个或多个与安全性相关的更新。
描述
远程 Debian 9 主机上安装的多个程序包受到 dla-2737 公告中提及的多个漏洞影响。
- Oracle Java SE 的 Java SE、Oracle GraalVM Enterprise Edition 产品中存在漏洞(组件:
Networking)。受影响的支持版本为 Java SE:7u301、8u291、11.0.11、16.0.1;Oracle GraalVM Enterprise Edition:20.3.2 和 21.1.0。难以利用的漏洞允许未经身份验证的攻击者通过多种协议进行网络访问,从而破坏 Java SE、Oracle GraalVM Enterprise Edition。除攻击者以外的他人进行交互是实现成功攻击的必要条件。成功利用此漏洞进行攻击可导致在未经授权的情况下,对 Java SE、Oracle GraalVM Enterprise Edition 可访问数据的子集进行读取访问。注意:此漏洞适用于需加载并运行不可信代码(如来自互联网的代码)且安全性依赖于 Java 沙盒的 Java 部署,该部署通常在需在沙盒中运行 Java Web Start 应用程序或需在沙盒中运行 Java 小程序的客户端上。此漏洞不适用于 Java 部署,通常在仅加载并运行可信代码(如管理员安装的代码)的服务器上。CVSS 3.1 基本分数 3.1(机密性影响)。CVSS 向量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N)。(CVE-2021-2341)
- Oracle Java SE 的 Java SE、Oracle GraalVM Enterprise Edition 产品中存在漏洞(组件:
Library)。受影响的支持版本为 Java SE:7u301、8u291、11.0.11、16.0.1;Oracle GraalVM Enterprise Edition:20.3.2 和 21.1.0。可以轻松利用的漏洞允许未经身份验证的攻击者通过多种协议进行网络访问,从而破坏 Java SE、Oracle GraalVM Enterprise Edition。
除攻击者以外的他人进行交互是实现成功攻击的必要条件。成功利用此漏洞进行攻击可导致在未经授权的情况下更新、插入或删除某些 Java SE、Oracle GraalVM Enterprise Edition 可访问数据的访问权限。注意:此漏洞适用于需加载并运行不可信代码(如来自互联网的代码)且安全性依赖于 Java 沙盒的 Java 部署,该部署通常在需在沙盒中运行 Java Web Start 应用程序或需在沙盒中运行 Java 小程序的客户端上。此漏洞不适用于 Java 部署,通常在仅加载并运行可信代码(如管理员安装的代码)的服务器上。CVSS 3.1 基本分数 4.3(完整性影响)。
CVSS 向量:(CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N)。(CVE-2021-2369)
- Oracle Java SE 的 Java SE、Oracle GraalVM Enterprise Edition 产品中的漏洞(组件:
Hotspot)。受影响的支持版本为 Java SE:8u291、11.0.11、16.0.1;Oracle GraalVM Enterprise Edition:20.3.2 和 21.1.0。难以利用的漏洞允许未经身份验证的攻击者通过多种协议进行网络访问,从而破坏 Java SE、Oracle GraalVM Enterprise Edition。
除攻击者以外的他人进行交互是实现成功攻击的必要条件。成功利用此漏洞进行攻击可导致接管 Java SE、Oracle GraalVM Enterprise Edition。注意:此漏洞适用于需加载并运行不可信代码(如来自互联网的代码)且安全性依赖于 Java 沙盒的 Java 部署,该部署通常在需在沙盒中运行 Java Web Start 应用程序或需在沙盒中运行 Java 小程序的客户端上。此漏洞不适用于 Java 部署,通常在仅加载并运行可信代码(如管理员安装的代码)的服务器上。CVSS 3.1 基本分数 7.5(机密性、完整性和可用性影响)。CVSS 向量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H)。(CVE-2021-2388)
请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
升级 openjdk-8 程序包。
对于 Debian 9 Stretch,已在版本 8u302-b08-1~deb9u1 中修复这些问题。
插件详情
文件名: debian_DLA-2737.nasl
代理: unix
支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
风险信息
矢量: CVSS2#AV:N/AC:H/Au:N/C:P/I:P/A:P
矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:F/RL:O/RC:C
漏洞信息
CPE: p-cpe:/a:debian:debian_linux:openjdk-8-dbg, p-cpe:/a:debian:debian_linux:openjdk-8-demo, p-cpe:/a:debian:debian_linux:openjdk-8-doc, p-cpe:/a:debian:debian_linux:openjdk-8-jdk, p-cpe:/a:debian:debian_linux:openjdk-8-jdk-headless, p-cpe:/a:debian:debian_linux:openjdk-8-jre, p-cpe:/a:debian:debian_linux:openjdk-8-jre-headless, p-cpe:/a:debian:debian_linux:openjdk-8-jre-zero, p-cpe:/a:debian:debian_linux:openjdk-8-source, cpe:/o:debian:debian_linux:9.0
必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
易利用性: Exploits are available