Openjdk
Уязвимости
579
Эксплуатируемые
4
Макс. CVSS
10
Макс. EPSS
0.96714
Распределение по критичности
Критический
26
Высокий
117
Средний
299
Низкий
136
Затронутые диапазоны версий
1.4–1.4.2_201.4–1.4.2_221.5–1.5.0_181.5–1.5.0_201.5–1.5.0_221.5–1.5.0_301.5–1.5.0_321.6.0_10–1.6.0_131.6–1.6.0_131.6–1.6.0_151.6–1.6.0_261.6–1.6.0_271.6–1.6.0_291.7–1.7.0_111–11.0.1512.6–1.6.0_2912–17.0.312–17.0.412–17.0.512–17.0.812–17.0.917–17.0.1018–21.0.718–21.0.9
Также сопоставлено как (исходные строки): enterprise_manager_base_platform,mysql_workbench,jrockit,firefox,gimp,openjdk,real_user_experience_insight,zfs_storage_appliance_kit,communications_cloud_native_core_network_function_cloud_native_environment,peoplesoft_enterprise_peopletools,graalvm,enterprise_manager_ops_center
Топ уязвимостей
CVE-2014-8873Файл .desktop в пакете Debian openjdk-7 7u79-2.5.5-1~deb8u1 включает регистрацию типа MIME, которая добавляется в /etc/mailcap с помощью mime-support, что позволяет удаленным злоумышленникам выполнять произвольный код через JAR-файл.
CVE-2008-5355Функция "Java Update" для Java Runtime Environment (JRE) для Sun JDK и JRE 6 Update 10 и более ранних версий; JDK и JRE 5.0 Update 16 и более ранних версий; и SDK и JRE 1.4.2_18 и более ранних версий не проверяет подпись загруженного JRE, что позволяет удаленным злоумышленникам выполнять произвольный код через атаки типа "человек посередине" с использованием DNS.
CVE-2008-5353Java Runtime Environment (JRE) для Sun JDK и JRE 6 Update 10 и более ранних версий; JDK и JRE 5.0 Update 16 и более ранних версий; и SDK и JRE 1.4.2_18 и более ранних версий неправильно применяет контекст объектов ZoneInfo во время десериализации, что позволяет удаленным злоумышленникам запускать ненадежные апплеты и приложения в привилегированном контексте, как показано на примере "десериализации объектов Calendar".
CVE-2008-5340Неуказанная уязвимость в Java Web Start (JWS) и Java Plug-in с Sun JDK и JRE 6 Update 10 и более ранних версиях; JDK и JRE 5.0 Update 16 и более ранних версиях; и SDK и JRE 1.4.2_18 и более ранних версиях позволяет ненадежным приложениям JWS получать привилегии для доступа к локальным файлам или приложениям через неизвестные векторы, также известная как 6727081.
CVE-2008-3113Неуказанная уязвимость в Sun Java Web Start в JDK и JRE 5.0 до Update 16 и SDK и JRE 1.4.x до 1.4.2_18 позволяет удаленным злоумышленникам создавать или удалять произвольные файлы через ненадежное приложение, также известное как CR 6704077.
CVE-2008-3112Уязвимость обхода каталогов в Sun Java Web Start в JDK и JRE 6 до Update 7, JDK и JRE 5.0 до Update 16 и SDK и JRE 1.4.x до 1.4.2_18 позволяет удаленным злоумышленникам создавать произвольные файлы через метод writeManifest в классе CacheEntry, также известный как CR 6703909.
CVE-2008-3107Неуказанная уязвимость в виртуальной машине в Sun Java Runtime Environment (JRE) в JDK и JRE 6 до Update 7, JDK и JRE 5.0 до Update 16 и SDK и JRE 1.4.x до 1.4.2_18 позволяет зависящим от контекста злоумышленникам получать привилегии через ненадежное (1) приложение или (2) апплет, как продемонстрировано приложением или апплетом, который предоставляет себе привилегии для (a) чтения локальных файлов, (b) записи в локальные файлы или (c) выполнения локальных программ.
BDU:2016-00256Уязвимость файла .desktop комплекта разработчика приложений OpenJDK связана с тем, что он содержит регистрацию MIME, добавляемую в /etc/mailcap. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
CVE-2016-9843Функция crc32_big в crc32.c в zlib 1.2.8 может позволить зависимым от контекста злоумышленникам оказать неуказанное воздействие через векторы, включающие вычисление CRC с прямым порядком байтов.
CVE-2016-9841inffast.c в zlib 1.2.8 может позволить зависимым от контекста злоумышленникам оказать неуказанное воздействие, используя неправильную арифметику указателей.
CVE-2016-3427Неуказанная уязвимость в Oracle Java SE 6u113, 7u99 и 8u77; Java SE Embedded 8u77; и JRockit R28.3.9 позволяет удаленным злоумышленникам влиять на конфиденциальность, целостность и доступность через векторы, связанные с JMX.
CVE-2012-1723Неопределённая уязвимость в компоненте Java Runtime Environment (JRE) в Oracle Java SE 7 обновление 4 и более ранние, 6 обновление 32 и более ранние, 5 обновление 35 и более ранние и 1.4.2_37 и более ранние позволяют удалённым злоумышленникам влиять на конфиденциальность, целостность и доступность через неизвестные векторы, связанные с Hotspot.
CVE-2011-3544Неопределённая уязвимость в компоненте Java Runtime Environment в Oracle Java SE JDK и JRE 7 и 6 Update 27 и более ранние позволяет удалённым недоверенным Java Web Start приложениям и недоверенным Java Applet'ам влиять на конфиденциальность, целостность и доступность через неизвестные векторы, связанные с скриптованием.
CVE-2016-3443Неуказанная уязвимость в Oracle Java SE 6u113, 7u99 и 8u77 позволяет удаленным злоумышленникам влиять на конфиденциальность, целостность и доступность через векторы, связанные с 2D. ПРИМЕЧАНИЕ: Предыдущая информация взята из CPU за апрель 2016 года. Oracle не комментировала утверждения третьих лиц о том, что эта проблема позволяет удаленным злоумышленникам получать конфиденциальную информацию через специально созданные данные шрифта, которые вызывают чтение за пределами границ.
CVE-2016-0687Неуказанная уязвимость в Oracle Java SE 6u113, 7u99 и 8u77 и Java SE Embedded 8u77 позволяет удаленным злоумышленникам влиять на конфиденциальность, целостность и доступность через векторы, связанные с подкомпонентом Hotspot.
CVE-2016-0686Неуказанная уязвимость в Oracle Java SE 6u113, 7u99 и 8u77 и Java SE Embedded 8u77 позволяет удаленным злоумышленникам влиять на конфиденциальность, целостность и доступность через векторы, связанные с Serialization.
CVE-2008-5358Java Runtime Environment (JRE) для Sun JDK и JRE 6 Update 10 и более ранних версий может позволить удаленным злоумышленникам выполнять произвольный код через специально созданный GIF-файл, который вызывает повреждение памяти во время отображения заставки, возможно, связанное с splashscreen.dll.
CVE-2008-5354Переполнение буфера на основе стека в Java Runtime Environment (JRE) для Sun JDK и JRE 6 Update 10 и более ранних версий; JDK и JRE 5.0 Update 16 и более ранних версий; и SDK и JRE 1.4.2_18 и более ранних версий позволяет локально запущенным и, возможно, удаленным ненадежным Java-приложениям выполнять произвольный код через JAR-файл с длинной записью Main-Class в манифесте.
CVE-2008-5352Переполнение целого числа в утилите распаковки JAR (unpack200) в библиотеке распаковки (unpack.dll) в Java Runtime Environment (JRE) для Sun JDK и JRE 6 Update 10 и более ранних версий, и JDK и JRE 5.0 Update 16 и более ранних версий позволяет ненадежным приложениям и апплетам получать привилегии через сжатый файл JAR Pack200, который вызывает переполнение буфера на основе кучи.
CVE-2008-3103Неуказанная уязвимость в агенте управления Java Management Extensions (JMX) в Sun Java Runtime Environment (JRE) в JDK и JRE 6 Update 6 и более ранних версиях, а также JDK и JRE 5.0 Update 15 и более ранних версиях, когда включено локальное наблюдение, позволяет удаленным злоумышленникам «выполнять несанкционированные операции» через неуказанные векторы.
CVE-2008-2086Sun Java Web Start и Java Plug-in для JDK и JRE 6 Update 10 и более ранних версий; JDK и JRE 5.0 Update 16 и более ранних версий; и SDK и JRE 1.4.2_18 и более ранних версий позволяют удаленным злоумышленникам выполнять произвольный код через специально созданный jnlp-файл, который изменяет (1) java.home, (2) java.ext.dirs или (3) user.home System Properties, также известный как "Java Web Start File Inclusion" и CR 6694892.
CVE-2007-3716Реализация Java XML Digital Signature в Sun JDK и JRE 6 до Update 2 неправильно обрабатывает таблицы стилей XSLT в преобразованиях XSLT в XML-подписях, что позволяет зависящим от контекста злоумышленникам выполнять произвольный код через специально созданную таблицу стилей, что является проблемой, связанной с CVE-2007-3715.
BDU:2023-02179Уязвимость компонента JSSE программной платформы Oracle Java SE и виртуальной машины Oracle GraalVM Enterprise Edition связана с отсутствием проверки целостности сообщений. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, раскрыть защищаемую информацию или создать, удалить или изменить доступ к данным
CVE-2019-2699Уязвимость в компоненте Java SE Oracle Java SE (подкомпонент: Windows DLL). Поддерживаемая версия, подверженная уязвимости: Java SE: 8u202. Сложная в эксплуатации уязвимость позволяет неаутентифицированному злоумышленнику с сетевым доступом через несколько протоколов скомпрометировать Java SE. Хотя уязвимость находится в Java SE, атаки могут значительно повлиять на дополнительные продукты. Успешные атаки этой уязвимости могут привести к захвату Java SE. Примечание: эта уязвимость относится к развертываниям Java, обычно в клиентах, запускающих Java Web Start приложения или Java-апплеты в изолированной среде (в Java SE 8), которые загружают и запускают ненадежный код (например, код, полученный из Интернета) и полагаются на песочницу Java для обеспечения безопасности. Эту уязвимость также можно использовать с помощью API в указанном компоненте, например, через веб-сервис, который предоставляет данные API. CVSS 3.0 Base Score 9.0 (воздействие на конфиденциальность, целостность и доступность). CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H).
CVE-2018-2938Уязвимость в компоненте Java SE пакета Oracle Java SE (подкомпонент: Java DB). Поддерживаемые версии, подверженные уязвимости: Java SE: 6u191, 7u181 и 8u172. Трудно эксплуатируемая уязвимость позволяет неаутентифицированному злоумышленнику с сетевым доступом через несколько протоколов скомпрометировать Java SE. Хотя уязвимость находится в Java SE, атаки могут значительно повлиять на дополнительные продукты. Успешные атаки этой уязвимости могут привести к захвату Java SE. Примечание: эта уязвимость может быть использована только путем предоставления данных API в указанном компоненте без использования ненадежных приложений Java Web Start или ненадежных Java-апплетов, например, через веб-сервис. CVE-2018-2938 устраняет CVE-2018-1313. Базовая оценка CVSS 3.0 — 9.0 (воздействие на конфиденциальность, целостность и доступность). Вектор CVSS: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H).