Vulnerabilidad en Múltiples vulnerabilidades en Java de Oracle (CVE-2013-0422)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-264
Permisos, privilegios y/o control de acceso
Fecha de publicación:
10/01/2013
Última modificación:
11/04/2025
Descripción
Múltiples vulnerabilidades en Java de Oracle versión 7 anterior a Update 11, permiten a los atacantes remotos ejecutar código arbitrario mediante (1) utilizando el método público getMBeanInstantiator en la clase JmxMBeanServer para obtener una referencia a un objeto MBeanInstantiator privado, a continuación, recuperar referencias arbitrarias Class mediante el método findClass y (2) mediante la API Reflection con recursión de una manera que omita una comprobación de seguridad mediante el método java.lang.invoke.MethodHandles.Lookup.checkSecurityManager debido a la incapacidad del método sun.reflect.Reflection.getCallerClass para omitir marcos relacionados con la nueva API reflection, como se explotó “in the wild” en Enero de 2013, como es demostrado por Blackhole y Nuclear Pack, y una vulnerabilidad diferente de CVE-2012-4681 y CVE-2012-3174. NOTA: algunas partes han mapeado el problema recursivo de la API Reflection al CVE-2012-3174, pero el CVE-2012-3174 es para una vulnerabilidad diferente cuyos detalles no son públicos a partir de 20130114. El CVE-2013-0422 cubre los problemas de JMX/MBean y API Reflection. NOTA: originalmente se informó que Java versión 6 también era vulnerable, pero el reportero se ha retractado de esta afirmación, declarando que Java versión 6 no es explotable porque el código relevante se llama de una manera que no omita las comprobaciones de seguridad. NOTA: a partir de 20130114, un tercero confiable ha afirmado que el vector findClass/MBeanInstantiator no se corrigió en Java de Oracle versión 7 Update 11. Si todavía hay una condición vulnerable, se podría crear un identificador CVE independiente para el problema no corregido.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
10.00
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:oracle:jdk:1.7.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:jdk:1.7.0:update1:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:jdk:1.7.0:update10:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:jdk:1.7.0:update2:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:jdk:1.7.0:update3:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:jdk:1.7.0:update4:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:jdk:1.7.0:update5:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:jdk:1.7.0:update6:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:jdk:1.7.0:update7:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:jdk:1.7.0:update9:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:jre:1.7.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:jre:1.7.0:update1:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:jre:1.7.0:update10:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:jre:1.7.0:update2:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:jre:1.7.0:update3:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://blog.fireeye.com/research/2013/01/happy-new-year-from-new-java-zero-day.html
- http://blog.fuseyism.com/index.php/2013/01/15/security-icedtea-2-1-4-2-2-4-2-3-4-released/
- http://immunityproducts.blogspot.ca/2013/01/confirmed-java-only-fixed-one-of-two.html
- http://krebsonsecurity.com/2013/01/zero-day-java-exploit-debuts-in-crimeware/
- http://labs.alienvault.com/labs/index.php/2013/new-year-new-java-zeroday/
- http://lists.opensuse.org/opensuse-security-announce/2013-01/msg00025.html
- http://malware.dontneedcoffee.com/2013/01/0-day-17u10-spotted-in-while-disable.html
- http://rhn.redhat.com/errata/RHSA-2013-0156.html
- http://rhn.redhat.com/errata/RHSA-2013-0165.html
- http://seclists.org/bugtraq/2013/Jan/48
- http://www.kb.cert.org/vuls/id/625617
- http://www.mandriva.com/security/advisories?name=MDVSA-2013%3A095
- http://www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html
- http://www.ubuntu.com/usn/USN-1693-1
- http://www.us-cert.gov/cas/techalerts/TA13-010A.html
- https://partners.immunityinc.com/idocs/Java%20MBeanInstantiator.findClass%200day%20Analysis.pdf
- https://threatpost.com/en_us/blogs/nasty-new-java-zero-day-found-exploit-kits-already-have-it-011013
- https://wiki.mageia.org/en/Support/Advisories/MGASA-2013-0018
- https://www-304.ibm.com/connections/blogs/PSIRT/entry/oracle_java_7_security_manager_bypass_vulnerability_cve_2013_04224?lang=en_us
- http://blog.fireeye.com/research/2013/01/happy-new-year-from-new-java-zero-day.html
- http://blog.fuseyism.com/index.php/2013/01/15/security-icedtea-2-1-4-2-2-4-2-3-4-released/
- http://immunityproducts.blogspot.ca/2013/01/confirmed-java-only-fixed-one-of-two.html
- http://krebsonsecurity.com/2013/01/zero-day-java-exploit-debuts-in-crimeware/
- http://labs.alienvault.com/labs/index.php/2013/new-year-new-java-zeroday/
- http://lists.opensuse.org/opensuse-security-announce/2013-01/msg00025.html
- http://malware.dontneedcoffee.com/2013/01/0-day-17u10-spotted-in-while-disable.html
- http://rhn.redhat.com/errata/RHSA-2013-0156.html
- http://rhn.redhat.com/errata/RHSA-2013-0165.html
- http://seclists.org/bugtraq/2013/Jan/48
- http://www.kb.cert.org/vuls/id/625617
- http://www.mandriva.com/security/advisories?name=MDVSA-2013%3A095
- http://www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html
- http://www.ubuntu.com/usn/USN-1693-1
- http://www.us-cert.gov/cas/techalerts/TA13-010A.html
- https://partners.immunityinc.com/idocs/Java%20MBeanInstantiator.findClass%200day%20Analysis.pdf
- https://threatpost.com/en_us/blogs/nasty-new-java-zero-day-found-exploit-kits-already-have-it-011013
- https://wiki.mageia.org/en/Support/Advisories/MGASA-2013-0018
- https://www-304.ibm.com/connections/blogs/PSIRT/entry/oracle_java_7_security_manager_bypass_vulnerability_cve_2013_04224?lang=en_us