Vulnerabilidad en Oracle Java SE (CVE-2018-3139)
Gravedad CVSS v3.1:
BAJA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
17/10/2018
Última modificación:
27/06/2022
Descripción
Vulnerabilidad en los componentes Java SE y Java SE Embedded de Oracle Java SE (subcomponente: Networking). Las versiones compatibles que se han visto afectadas son JavaSE: 6u201, 7u191, 8u182 y 11; Java SE Embedded: 8u181. Una vulnerabilidad difícilmente explotable permite que un atacante sin autenticar que tenga acceso a red por múltiples protocolos comprometa la seguridad de Java SE y Java SE Embedded. Para que los ataques tengan éxito, se necesita la participación de otra persona diferente del atacante. Los ataques exitosos de esta vulnerabilidad pueden resultar en un acceso de lectura sin autorización a un subconjunto de datos accesibles de Java SE y Java SE Embedded. Nota: esta vulnerabilidad se aplica a implementaciones Java, normalmente en clientes que ejecutan aplicaciones Java Web Start en sandbox o applets Java en sandbox (en Java SE 8) que cargan y ejecutan código que no es de confianza (por ejemplo, código proveniente de internet) y que confían en el sandbox Java para protegerse. Esta vulnerabilidad no se aplica a implementaciones Java, normalmente en servidores, que solo cargan y ejecutan código de confianza (por ejemplo, código instalado por un administrador). CVSS 3.0 Base Score 3.1 (impactos en la confidencialidad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N).
Impacto
Puntuación base 3.x
3.10
Gravedad 3.x
BAJA
Puntuación base 2.0
2.60
Gravedad 2.0
BAJA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:oracle:jdk:1.6.0:update201:*:*:*:*:*:* | ||
cpe:2.3:a:oracle:jdk:1.7.0:update191:*:*:*:*:*:* | ||
cpe:2.3:a:oracle:jdk:1.8.0:update181:*:*:*:*:*:* | ||
cpe:2.3:a:oracle:jdk:1.8.0:update182:*:*:*:*:*:* | ||
cpe:2.3:a:oracle:jdk:11.0.0:*:*:*:*:*:*:* | ||
cpe:2.3:a:oracle:jre:1.6.0:update201:*:*:*:*:*:* | ||
cpe:2.3:a:oracle:jre:1.7.0:update191:*:*:*:*:*:* | ||
cpe:2.3:a:oracle:jre:1.8.0:update181:*:*:*:*:*:* | ||
cpe:2.3:a:oracle:jre:1.8.0:update182:*:*:*:*:*:* | ||
cpe:2.3:a:oracle:jre:11.0.0:*:*:*:*:*:*:* | ||
cpe:2.3:a:redhat:satellite:5.6:*:*:*:*:*:*:* | ||
cpe:2.3:a:redhat:satellite:5.7:*:*:*:*:*:*:* | ||
cpe:2.3:a:redhat:satellite:5.8:*:*:*:*:*:*:* | ||
cpe:2.3:o:redhat:enterprise_linux_desktop:6.0:*:*:*:*:*:*:* | ||
cpe:2.3:o:redhat:enterprise_linux_desktop:7.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html
- http://www.securityfocus.com/bid/105602
- http://www.securitytracker.com/id/1041889
- https://access.redhat.com/errata/RHSA-2018:2942
- https://access.redhat.com/errata/RHSA-2018:2943
- https://access.redhat.com/errata/RHSA-2018:3000
- https://access.redhat.com/errata/RHSA-2018:3001
- https://access.redhat.com/errata/RHSA-2018:3002
- https://access.redhat.com/errata/RHSA-2018:3003
- https://access.redhat.com/errata/RHSA-2018:3007
- https://access.redhat.com/errata/RHSA-2018:3008
- https://access.redhat.com/errata/RHSA-2018:3350
- https://access.redhat.com/errata/RHSA-2018:3409
- https://access.redhat.com/errata/RHSA-2018:3521
- https://access.redhat.com/errata/RHSA-2018:3533
- https://access.redhat.com/errata/RHSA-2018:3534
- https://access.redhat.com/errata/RHSA-2018:3671
- https://access.redhat.com/errata/RHSA-2018:3672
- https://access.redhat.com/errata/RHSA-2018:3779
- https://access.redhat.com/errata/RHSA-2018:3852
- https://lists.debian.org/debian-lts-announce/2018/11/msg00026.html
- https://security.gentoo.org/glsa/201908-10
- https://security.netapp.com/advisory/ntap-20181018-0001/
- https://support.hpe.com/hpsc/doc/public/display?docLocale=en_US&docId=emr_na-hpesbst03952en_us
- https://usn.ubuntu.com/3804-1/
- https://usn.ubuntu.com/3824-1/
- https://www.debian.org/security/2018/dsa-4326