Vulnerabilidad en Oracle Java SE (CVE-2018-3169)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
17/10/2018
Última modificación:
27/06/2022
Descripción
Vulnerabilidad en los componentes Java SE y Java SE Embedded de Oracle Java SE (subcomponente: Hotspot). Las versiones compatibles que se han visto afectadas son JavaSE: 7u191, 8u182 y 11; Java SE Embedded: 8u181. Una vulnerabilidad difícilmente explotable permite que un atacante sin autenticar que tenga acceso a red por múltiples protocolos comprometa la seguridad de Java SE y Java SE Embedded. Para que los ataques tengan éxito, se necesita la participación de otra persona diferente del atacante y, aunque la vulnerabilidad está presente en Java SE y Java SE Embedded, los ataques podrían afectar ligeramente a productos adicionales. Los ataques exitosos de esta vulnerabilidad pueden resultar en la toma de control de Java SE y Java SE Embedded. Nota: esta vulnerabilidad se aplica a implementaciones Java, normalmente en clientes que ejecutan aplicaciones Java Web Start en sandbox o applets Java en sandbox (en Java SE 8) que cargan y ejecutan código que no es de confianza (por ejemplo, código proveniente de internet) y que confían en el sandbox Java para protegerse. Esta vulnerabilidad no se aplica a implementaciones Java, normalmente en servidores, que solo cargan y ejecutan código de confianza (por ejemplo, código instalado por un administrador). CVSS 3.0 Base Score 8.3 (impactos en la confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H).
Impacto
Puntuación base 3.x
8.30
Gravedad 3.x
ALTA
Puntuación base 2.0
5.10
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:oracle:jdk:1.7.0:update191:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:jdk:1.8.0:update181:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:jdk:11.0.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:jre:1.7.0:update191:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:jre:1.8.0:update181:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:jre:11.0.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:redhat:satellite:5.6:*:*:*:*:*:*:* | ||
| cpe:2.3:a:redhat:satellite:5.7:*:*:*:*:*:*:* | ||
| cpe:2.3:a:redhat:satellite:5.8:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux_desktop:6.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux_desktop:7.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux_eus:7.6:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux_server:6.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux_server:7.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux_server_aus:7.6:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html
- http://www.securityfocus.com/bid/105587
- http://www.securitytracker.com/id/1041889
- https://access.redhat.com/errata/RHSA-2018:2942
- https://access.redhat.com/errata/RHSA-2018:2943
- https://access.redhat.com/errata/RHSA-2018:3000
- https://access.redhat.com/errata/RHSA-2018:3001
- https://access.redhat.com/errata/RHSA-2018:3002
- https://access.redhat.com/errata/RHSA-2018:3003
- https://access.redhat.com/errata/RHSA-2018:3350
- https://access.redhat.com/errata/RHSA-2018:3409
- https://access.redhat.com/errata/RHSA-2018:3521
- https://access.redhat.com/errata/RHSA-2018:3533
- https://access.redhat.com/errata/RHSA-2018:3534
- https://access.redhat.com/errata/RHSA-2018:3671
- https://access.redhat.com/errata/RHSA-2018:3672
- https://access.redhat.com/errata/RHSA-2018:3779
- https://access.redhat.com/errata/RHSA-2018:3852
- https://lists.debian.org/debian-lts-announce/2018/11/msg00026.html
- https://security.gentoo.org/glsa/201908-10
- https://security.netapp.com/advisory/ntap-20181018-0001/
- https://support.hpe.com/hpsc/doc/public/display?docLocale=en_US&docId=emr_na-hpesbst03952en_us
- https://usn.ubuntu.com/3804-1/
- https://usn.ubuntu.com/3824-1/
- https://www.debian.org/security/2018/dsa-4326