Vulnerabilidad en producto Java SE Embedded de Oracle Java SE (CVE-2020-2604)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-502
Deserialización de datos no confiables
Fecha de publicación:
15/01/2020
Última modificación:
29/10/2022
Descripción
Vulnerabilidad en Java SE, producto Java SE Embedded de Oracle Java SE (componente: serialización). Las versiones compatibles que se ven afectadas son Java SE: 7u241, 8u231, 11.0.5 y 13.0.1; Java SE Embedded: 8u231. La vulnerabilidad difícil de explotar permite que un atacante no autenticado con acceso a la red a través de múltiples protocolos comprometa Java SE, Java SE Embedded. Los ataques con éxito de esta vulnerabilidad pueden resultar en la adquisición de Java SE, Java SE Embedded. Nota: Esta vulnerabilidad se aplica a las implementaciones de Java, generalmente en clientes que ejecutan aplicaciones Java Web Start de espacio aislado o applets de Java de espacio aislado (en Java SE 8), que cargan y ejecutan código no seguro (por ejemplo, código que proviene de Internet) y dependen de Java caja de arena para seguridad. Esta vulnerabilidad también puede explotarse mediante el uso de API en el Componente especificado, por ejemplo, a través de un servicio web que suministra datos a las API. CVSS v3.0 Base Score 8.1 (Impactos de confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS: 3.0 / AV: N / AC: H / PR: N / UI: N / S: U / C: H / I: H / A: H).
Impacto
Puntuación base 3.x
8.10
Gravedad 3.x
ALTA
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:oracle:commerce_experience_manager:11.3.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:commerce_guided_search:11.3.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:graalvm:19.3.0.2:*:*:*:enterprise:*:*:* | ||
| cpe:2.3:a:oracle:jdk:1.7.0:update241:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:jdk:1.8.0:update231:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:jdk:11.0.5:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:jdk:13.0.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:jre:1.8.0:update231:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux:8.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux_desktop:6.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux_desktop:7.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux_eus:7.7:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux_eus:8.1:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux_server:6.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux_server:7.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lists.opensuse.org/opensuse-security-announce/2020-01/msg00050.html
- http://lists.opensuse.org/opensuse-security-announce/2020-01/msg00060.html
- https://access.redhat.com/errata/RHSA-2020:0122
- https://access.redhat.com/errata/RHSA-2020:0128
- https://access.redhat.com/errata/RHSA-2020:0196
- https://access.redhat.com/errata/RHSA-2020:0202
- https://access.redhat.com/errata/RHSA-2020:0231
- https://access.redhat.com/errata/RHSA-2020:0232
- https://access.redhat.com/errata/RHSA-2020:0465
- https://access.redhat.com/errata/RHSA-2020:0467
- https://access.redhat.com/errata/RHSA-2020:0468
- https://access.redhat.com/errata/RHSA-2020:0469
- https://access.redhat.com/errata/RHSA-2020:0470
- https://access.redhat.com/errata/RHSA-2020:0541
- https://access.redhat.com/errata/RHSA-2020:0632
- https://kc.mcafee.com/corporate/index?page=content&id=SB10315
- https://lists.debian.org/debian-lts-announce/2020/02/msg00034.html
- https://seclists.org/bugtraq/2020/Feb/22
- https://security.gentoo.org/glsa/202101-19
- https://security.netapp.com/advisory/ntap-20200122-0003/
- https://usn.ubuntu.com/4257-1/
- https://www.debian.org/security/2020/dsa-4621
- https://www.oracle.com/security-alerts/cpujan2020.html
- https://www.oracle.com/security-alerts/cpujul2021.html