Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
java-1.7.0-openjdk
(any)
java-1.7.0-openjdk-demo
(any)
java-1.7.0-openjdk-devel
(any)
java-1.7.0-openjdk-javadoc
(any)
java-1.7.0-openjdk-src
(any)
Описание
Данные пакеты содержат OpenJDK 7 Java Runtime
Environment (JRE) и OpenJDK 7 Java Software Development Kit (SDK).
Множественные ошибки, связанные с некорректной проверкой входных данных, существуют в машинном коде компонента 2D. Злоумышленники при помощи специально сформированного файла изображения могут спровоцировать ошибку при работе с памятью в Java Virtual Machine и выполнить произвольный код с привилегиями пользователя, запустившего Java Virtual Machine.
(CVE-2013-5782)
Загрузчик класса некорректно проверяет пакетный доступ к закрытым прокси-классам. Эксплуатация данной уязвимости позволяет злоумышленнику, действующему удаленно, выполнить произвольный код с привилегиями пользователя, запустившего Java Virtual Machine. (CVE-2013-5830)
Множественные ошибки, связанные с некорректной обработкой полномочий, существуют в компонентах 2D, CORBA, JNDI и Libraries в OpenJDK. Злоумышленник может обойти ограничения песочницы Java при помощи недоверенных Java-приложений или апплетов.
(CVE-2013-5829, CVE-2013-5814, CVE-2013-5817, CVE-2013-5842, CVE-2013-5850,
CVE-2013-5838)
Множественные ошибки, связанные с некорректной проверкой входных данных, существуют в коде чтения и записи JPEG-изображений в компоненте 2D. Эксплуатация данных уязвимостей позволяет злоумышленнику обойти ограничения песочницы Java и вызвать ошибку при работе с памятью Java Virtual Machine при помощи недоверенного Java-приложения или апплета. (CVE-2013-5809)
Присваемое значение FEATURE_SECURE_PROCESSING некорректно принимается на обработку преобразователем пакетов javax.xml.transform. Эксплуатация данной уязвимости позволяет злоумышленнику, действующему удаленно, использовать специально сформированный XML-файл, который будет обработан в обход ограничений безопасности. (CVE-2013-5802)
Множественные ошибки, связанные с обработкой входных XML-данных, существуют в компонентах JAXP и Security. Злоумышленник, действующий удаленно, может создать специально сформированный XML-файл, обработка которого приведет к чрезмерному потреблению Java-приложением ресурсов процессора и памяти. (CVE-2013-5825, CVE-2013-4002, CVE-2013-5823)
Множественные ошибки, связанные с некорректной обработкой полномочий, существуют в компонентах Libraries,
Swing, JAX-WS, JAXP, JGSS, AWT, Beans и Scripting components в OpenJDK.
Эксплуатация данной уязвимости позволяет злоумышленнику обойти ограничения песочницы Java при помощи недоверенного Java-приложения или апплета. (CVE-2013-3829, CVE-2013-5840,
CVE-2013-5774, CVE-2013-5783, CVE-2013-5820, CVE-2013-5851, CVE-2013-5800,
CVE-2013-5849, CVE-2013-5790, CVE-2013-5784)
Библиотека компонентов 2D осуществляет некорректную проверку границ в процессе преобразования изображений. Эксплуатация данной уязвимости позволяет злоумышленнику раскрыть часть информации из памяти Java Virtual Machine при помощи недоверенного Java-приложения или апплета. (CVE-2013-5778)
Множественные ошибки, связанные с обработкой входных данных, существуют в javadoc. Если документация javadoc была сгенерирована из недоверенного исходного кода Java и хранилась в домене, не контролируемом автором кода, эксплуатация данной уязвимости позволяет злоумышленнику осуществить межсайтовое выполнение сценариев. (CVE-2013-5804,
CVE-2013-5797)
В ряде классов OpenJDK для ключей шифрования может произойти утечка данных о ключах, вызванная включением конфиденциальной информации в строки, которые возвращают методы toString(). Эксплуатация вышеупомянутых уязвимостей может привести к непредвиденному раскрытию конфиденциальных данных о ключах. (CVE-2013-5780)
Java Heap Analysis Tool (jhat) некорректно обрабатывает данные, добавленные на сгенерированные HTML страницы. Специально сформированное содержимое памяти Java-программы, которое было проанализировано с помощью jhat, может быть использовано злоумышленниками для проведения межсайтового выполнения сценариев. (CVE-2013-5772)
Реализация Kerberos в OpenJDK некорректно обрабатывает ответы KDC. Некорректно сформированный пакет может вызвать завершение работы приложения Java при помощи JGSS. (CVE-2013-5803)
Для устранения уязвимостей пользователям java-1.7.0-openjdk необходимо обновить систему, используя данные пакеты обновлений. Чтобы обновления вступили в силу, необходимо перезапустить все работающие экземпляры OpenJDK Java.
Environment (JRE) и OpenJDK 7 Java Software Development Kit (SDK).
Множественные ошибки, связанные с некорректной проверкой входных данных, существуют в машинном коде компонента 2D. Злоумышленники при помощи специально сформированного файла изображения могут спровоцировать ошибку при работе с памятью в Java Virtual Machine и выполнить произвольный код с привилегиями пользователя, запустившего Java Virtual Machine.
(CVE-2013-5782)
Загрузчик класса некорректно проверяет пакетный доступ к закрытым прокси-классам. Эксплуатация данной уязвимости позволяет злоумышленнику, действующему удаленно, выполнить произвольный код с привилегиями пользователя, запустившего Java Virtual Machine. (CVE-2013-5830)
Множественные ошибки, связанные с некорректной обработкой полномочий, существуют в компонентах 2D, CORBA, JNDI и Libraries в OpenJDK. Злоумышленник может обойти ограничения песочницы Java при помощи недоверенных Java-приложений или апплетов.
(CVE-2013-5829, CVE-2013-5814, CVE-2013-5817, CVE-2013-5842, CVE-2013-5850,
CVE-2013-5838)
Множественные ошибки, связанные с некорректной проверкой входных данных, существуют в коде чтения и записи JPEG-изображений в компоненте 2D. Эксплуатация данных уязвимостей позволяет злоумышленнику обойти ограничения песочницы Java и вызвать ошибку при работе с памятью Java Virtual Machine при помощи недоверенного Java-приложения или апплета. (CVE-2013-5809)
Присваемое значение FEATURE_SECURE_PROCESSING некорректно принимается на обработку преобразователем пакетов javax.xml.transform. Эксплуатация данной уязвимости позволяет злоумышленнику, действующему удаленно, использовать специально сформированный XML-файл, который будет обработан в обход ограничений безопасности. (CVE-2013-5802)
Множественные ошибки, связанные с обработкой входных XML-данных, существуют в компонентах JAXP и Security. Злоумышленник, действующий удаленно, может создать специально сформированный XML-файл, обработка которого приведет к чрезмерному потреблению Java-приложением ресурсов процессора и памяти. (CVE-2013-5825, CVE-2013-4002, CVE-2013-5823)
Множественные ошибки, связанные с некорректной обработкой полномочий, существуют в компонентах Libraries,
Swing, JAX-WS, JAXP, JGSS, AWT, Beans и Scripting components в OpenJDK.
Эксплуатация данной уязвимости позволяет злоумышленнику обойти ограничения песочницы Java при помощи недоверенного Java-приложения или апплета. (CVE-2013-3829, CVE-2013-5840,
CVE-2013-5774, CVE-2013-5783, CVE-2013-5820, CVE-2013-5851, CVE-2013-5800,
CVE-2013-5849, CVE-2013-5790, CVE-2013-5784)
Библиотека компонентов 2D осуществляет некорректную проверку границ в процессе преобразования изображений. Эксплуатация данной уязвимости позволяет злоумышленнику раскрыть часть информации из памяти Java Virtual Machine при помощи недоверенного Java-приложения или апплета. (CVE-2013-5778)
Множественные ошибки, связанные с обработкой входных данных, существуют в javadoc. Если документация javadoc была сгенерирована из недоверенного исходного кода Java и хранилась в домене, не контролируемом автором кода, эксплуатация данной уязвимости позволяет злоумышленнику осуществить межсайтовое выполнение сценариев. (CVE-2013-5804,
CVE-2013-5797)
В ряде классов OpenJDK для ключей шифрования может произойти утечка данных о ключах, вызванная включением конфиденциальной информации в строки, которые возвращают методы toString(). Эксплуатация вышеупомянутых уязвимостей может привести к непредвиденному раскрытию конфиденциальных данных о ключах. (CVE-2013-5780)
Java Heap Analysis Tool (jhat) некорректно обрабатывает данные, добавленные на сгенерированные HTML страницы. Специально сформированное содержимое памяти Java-программы, которое было проанализировано с помощью jhat, может быть использовано злоумышленниками для проведения межсайтового выполнения сценариев. (CVE-2013-5772)
Реализация Kerberos в OpenJDK некорректно обрабатывает ответы KDC. Некорректно сформированный пакет может вызвать завершение работы приложения Java при помощи JGSS. (CVE-2013-5803)
Для устранения уязвимостей пользователям java-1.7.0-openjdk необходимо обновить систему, используя данные пакеты обновлений. Чтобы обновления вступили в силу, необходимо перезапустить все работающие экземпляры OpenJDK Java.
Как исправить
Используйте рекомендации производителя, доступные по ссылке https://access.redhat.com/knowledge/articles/11258
Ссылки
https://rhn.redhat.com/errata/RHSA-2013-1447.html
Источник: CVE
Наименование: CVE-2013-5814
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5814
Источник: CVE
Наименование: CVE-2013-5817
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5817
Источник: CVE
Наименование: CVE-2013-5797
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5797
Источник: CVE
Наименование: CVE-2013-5851
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5851
Источник: CVE
Наименование: CVE-2013-5850
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5850
Источник: CVE
Наименование: CVE-2013-5790
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5790
Источник: CVE
Наименование: CVE-2013-3829
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-3829
Источник: CVE
Наименование: CVE-2013-5829
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5829
Источник: CVE
Наименование: CVE-2013-4002
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4002
Источник: CVE
Наименование: CVE-2013-5820
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5820
Источник: CVE
Наименование: CVE-2013-5823
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5823
Источник: CVE
Наименование: CVE-2013-5825
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5825
Источник: CVE
Наименование: CVE-2013-5802
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5802
Источник: CVE
Наименование: CVE-2013-5803
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5803
Источник: CVE
Наименование: CVE-2013-5800
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5800
Источник: CVE
Наименование: CVE-2013-5804
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5804
Источник: CVE
Наименование: CVE-2013-5849
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5849
Источник: CVE
Наименование: CVE-2013-5784
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5784
Источник: CVE
Наименование: CVE-2013-5809
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5809
Источник: CVE
Наименование: CVE-2013-5842
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5842
Источник: CVE
Наименование: CVE-2013-5780
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5780
Источник: CVE
Наименование: CVE-2013-5783
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5783
Источник: CVE
Наименование: CVE-2013-5782
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5782
Источник: CVE
Наименование: CVE-2013-5840
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5840
Источник: CVE
Наименование: CVE-2013-5772
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5772
Источник: CVE
Наименование: CVE-2013-5774
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5774
Источник: CVE
Наименование: CVE-2013-5778
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5778
Источник: CVE
Наименование: CVE-2013-5838
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5838
Источник: CVE
Наименование: CVE-2013-5830
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5830
Источник: CVE
Наименование: CVE-2013-5814
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5814
Источник: CVE
Наименование: CVE-2013-5817
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5817
Источник: CVE
Наименование: CVE-2013-5797
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5797
Источник: CVE
Наименование: CVE-2013-5851
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5851
Источник: CVE
Наименование: CVE-2013-5850
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5850
Источник: CVE
Наименование: CVE-2013-5790
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5790
Источник: CVE
Наименование: CVE-2013-3829
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-3829
Источник: CVE
Наименование: CVE-2013-5829
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5829
Источник: CVE
Наименование: CVE-2013-4002
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4002
Источник: CVE
Наименование: CVE-2013-5820
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5820
Источник: CVE
Наименование: CVE-2013-5823
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5823
Источник: CVE
Наименование: CVE-2013-5825
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5825
Источник: CVE
Наименование: CVE-2013-5802
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5802
Источник: CVE
Наименование: CVE-2013-5803
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5803
Источник: CVE
Наименование: CVE-2013-5800
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5800
Источник: CVE
Наименование: CVE-2013-5804
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5804
Источник: CVE
Наименование: CVE-2013-5849
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5849
Источник: CVE
Наименование: CVE-2013-5784
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5784
Источник: CVE
Наименование: CVE-2013-5809
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5809
Источник: CVE
Наименование: CVE-2013-5842
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5842
Источник: CVE
Наименование: CVE-2013-5780
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5780
Источник: CVE
Наименование: CVE-2013-5783
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5783
Источник: CVE
Наименование: CVE-2013-5782
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5782
Источник: CVE
Наименование: CVE-2013-5840
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5840
Источник: CVE
Наименование: CVE-2013-5772
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5772
Источник: CVE
Наименование: CVE-2013-5774
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5774
Источник: CVE
Наименование: CVE-2013-5778
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5778
Источник: CVE
Наименование: CVE-2013-5838
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5838
Источник: CVE
Наименование: CVE-2013-5830
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5830
