Java-1.5.0-ibm
Уязвимости
365
Эксплуатируемые
5
Макс. CVSS
10
Макс. EPSS
0.99999
Распределение по критичности
Критический
27
Высокий
30
Средний
281
Низкий
26
Также сопоставлено как (исходные строки): java-1.5.0-ibm
Топ уязвимостей
CVE-2008-5353Java Runtime Environment (JRE) для Sun JDK и JRE 6 Update 10 и более ранних версий; JDK и JRE 5.0 Update 16 и более ранних версий; и SDK и JRE 1.4.2_18 и более ранних версий неправильно применяет контекст объектов ZoneInfo во время десериализации, что позволяет удаленным злоумышленникам запускать ненадежные апплеты и приложения в привилегированном контексте, как показано на примере "десериализации объектов Calendar".
CVE-2008-5340Неуказанная уязвимость в Java Web Start (JWS) и Java Plug-in с Sun JDK и JRE 6 Update 10 и более ранних версиях; JDK и JRE 5.0 Update 16 и более ранних версиях; и SDK и JRE 1.4.2_18 и более ранних версиях позволяет ненадежным приложениям JWS получать привилегии для доступа к локальным файлам или приложениям через неизвестные векторы, также известная как 6727081.
CVE-2008-3113Неуказанная уязвимость в Sun Java Web Start в JDK и JRE 5.0 до Update 16 и SDK и JRE 1.4.x до 1.4.2_18 позволяет удаленным злоумышленникам создавать или удалять произвольные файлы через ненадежное приложение, также известное как CR 6704077.
CVE-2008-3112Уязвимость обхода каталогов в Sun Java Web Start в JDK и JRE 6 до Update 7, JDK и JRE 5.0 до Update 16 и SDK и JRE 1.4.x до 1.4.2_18 позволяет удаленным злоумышленникам создавать произвольные файлы через метод writeManifest в классе CacheEntry, также известный как CR 6703909.
CVE-2008-3111Множественные переполнения буфера в Sun Java Web Start в JDK и JRE 6 до Update 4, JDK и JRE 5.0 до Update 16 и SDK и JRE 1.4.x до 1.4.2_18 позволяют зависящим от контекста злоумышленникам получать привилегии через ненадежное приложение, как продемонстрировано (a) приложением, которое предоставляет себе привилегии для (1) чтения локальных файлов, (2) записи в локальные файлы или (3) выполнения локальных программ; и как продемонстрировано (b) длинным значением, связанным с атрибутом java-vm-args в теге j2se в файле JNLP, который вызывает переполнение буфера на основе стека в функции GetVMArgsOption; также известное как CR 6557220.
CVE-2008-3108Переполнение буфера в Sun Java Runtime Environment (JRE) в JDK и JRE 5.0 до Update 10, SDK и JRE 1.4.x до 1.4.2_18 и SDK и JRE 1.3.x до 1.3.1_23 позволяет зависящим от контекста злоумышленникам получать привилегии через неуказанные векторы, связанные с обработкой шрифтов.
CVE-2008-0657Множественные неуказанные уязвимости в Java Runtime Environment в Sun JDK и JRE 6 Update 1 и более ранних версиях, а также 5.0 Update 13 и более ранних версиях позволяют зависящим от контекста злоумышленникам получать привилегии через ненадежное (1) приложение или (2) апплет, как продемонстрировано приложением или апплетом, который предоставляет себе привилегии для (a) чтения локальных файлов, (b) записи в локальные файлы или (c) выполнения локальных программ.
CVE-2007-2435Sun Java Web Start в JDK и JRE 5.0 Update 10 и более ранних версиях, а также Java Web Start в SDK и JRE 1.4.2_13 и более ранних версиях позволяет удаленным злоумышленникам выполнять несанкционированные действия через приложение, которое предоставляет привилегии самому себе, что связано с «Неправильным использованием системных классов» и, вероятно, связано с поддержкой файлов JNLP.
CVE-2015-2590Неуточненная уязвимость в Oracle Java SE 6u95, 7u80 и 8u45, а также Java SE Embedded 7u75 и 8u33 позволяет удаленным злоумышленникам влиять на конфиденциальность, целостность и доступность через неизвестные векторы, связанные с библиотеками, отличная от уязвимости CVE-2015-4732.
CVE-2015-0192Неуказанная уязвимость в IBM Java 8 до SR1, 7 R1 до SR2 FP11, 7 до SR9, 6 R1 до SR8 FP4, 6 до SR16 FP4 и 5.0 до SR16 FP10 позволяет удаленным злоумышленникам получать привилегии через неизвестные векторы, связанные с виртуальной машиной Java.
CVE-2013-2465Неопределенная уязвимость в компоненте Java Runtime Environment (JRE) в Oracle Java SE 7 Update 21 и более ранних версиях, 6 Update 45 и более ранних версиях, и 5.0 Update 45 и более ранних версиях, а также OpenJDK 7, позволяет удаленным злоумышленникам влиять на конфиденциальность, целостность и доступность через неизвестные векторы, связанные с 2D. ПРИМЕЧАНИЕ: предыдущая информация получена из CPU за июнь 2013 года. Oracle не прокомментировала заявления другого поставщика о том, что эта проблема позволяет удаленным злоумышленникам обойти песочницу Java через векторы, связанные с "Неправильной проверкой канала изображения" в 2D.
CVE-2012-0507Неопределённая уязвимость в компоненте Java Runtime Environment (JRE) в Oracle Java SE 7 Update 2 и более ранние, 6 Update 30 и более ранние, и 5.0 Update 33 и более ранние позволяют удалённым злоумышленникам влиять на конфиденциальность, целостность и доступность через неизвестные векторы, связанные с конкуренцией. ЗАМЕТКА: предыдущая информация была получена из CPU Oracle в феврале 2012 года. Oracle не комментировала утверждения от подрядчика и сторонних исследователей о том, что эта проблема возникает из-за того, что реализация класса AtomicReferenceArray не гарантирует, что массив является типом Object[], что позволяет злоумышленникам вызывать отказ в обслуживании (сбой JVM) или обходить ограничения песочницы Java. ЗАМЕТКА: эта проблема первоначально была сопоставлена с CVE-2011-3571, но этот идентификатор уже был назначен другой проблеме.
CVE-2010-0840Неопределённая уязвимость в компоненте Java Runtime Environment в Oracle Java SE и Java для бизнеса 6 Update 18, 5.0 Update 23 и 1.4.2_25 позволяет удалённым злоумышленникам влиять на конфиденциальность, целостность и доступность через неизвестные векторы. ЗАМЕТКА: предыдущая информация была получена из CPU Oracle в марте 2010 года. Oracle не комментировала утверждения надежного исследователя о том, что это связано с неправильной проверкой при выполнении привилегированных методов в Java Runtime Environment (JRE), что позволяет злоумышленникам выполнять произвольный код через (1) ненадежный объект, который расширяет доверенный класс, но не изменил определённый метод, или (2) "аналогичная проблема доверия с интерфейсами", известная как "Уязвимость выполнения удалённого кода через цепочку доверенных методов."
CVE-2009-3555Протокол TLS, а также протокол SSL 3.0 и, возможно, более ранние версии, используемые в Microsoft Internet Information Services (IIS) 7.0, mod_ssl в Apache HTTP Server 2.2.14 и более ранних версиях, OpenSSL до 0.9.8l, GnuTLS 2.8.5 и более ранних версиях, Mozilla Network Security Services (NSS) 3.12.4 и более ранних версиях, нескольких продуктах Cisco и других продуктах, неправильно связывает рукопожатия пересогласования с существующим соединением, что позволяет злоумышленникам "человек посередине" вставлять данные в HTTPS-сессии и, возможно, другие типы сессий, защищенные TLS или SSL, отправляя неаутентифицированный запрос, который обрабатывается ретроактивно сервером в контексте после пересогласования, что связано с атакой "plaintext injection", также известной как проблема "Project Mogul".
CVE-2008-5359Переполнение буфера в Java Runtime Environment (JRE) для Sun JDK и JRE 6 Update 10 и более ранних версий; JDK и JRE 5.0 Update 16 и более ранних версий; SDK и JRE 1.4.2_18 и более ранних версий; и SDK и JRE 1.3.1_23 и более ранних версий может позволить удаленным злоумышленникам выполнять произвольный код, связанный с операцией ConvolveOp в библиотеке Java AWT.
CVE-2008-5354Переполнение буфера на основе стека в Java Runtime Environment (JRE) для Sun JDK и JRE 6 Update 10 и более ранних версий; JDK и JRE 5.0 Update 16 и более ранних версий; и SDK и JRE 1.4.2_18 и более ранних версий позволяет локально запущенным и, возможно, удаленным ненадежным Java-приложениям выполнять произвольный код через JAR-файл с длинной записью Main-Class в манифесте.
CVE-2008-5352Переполнение целого числа в утилите распаковки JAR (unpack200) в библиотеке распаковки (unpack.dll) в Java Runtime Environment (JRE) для Sun JDK и JRE 6 Update 10 и более ранних версий, и JDK и JRE 5.0 Update 16 и более ранних версий позволяет ненадежным приложениям и апплетам получать привилегии через сжатый файл JAR Pack200, который вызывает переполнение буфера на основе кучи.
CVE-2008-3103Неуказанная уязвимость в агенте управления Java Management Extensions (JMX) в Sun Java Runtime Environment (JRE) в JDK и JRE 6 Update 6 и более ранних версиях, а также JDK и JRE 5.0 Update 15 и более ранних версиях, когда включено локальное наблюдение, позволяет удаленным злоумышленникам «выполнять несанкционированные операции» через неуказанные векторы.
CVE-2008-2086Sun Java Web Start и Java Plug-in для JDK и JRE 6 Update 10 и более ранних версий; JDK и JRE 5.0 Update 16 и более ранних версий; и SDK и JRE 1.4.2_18 и более ранних версий позволяют удаленным злоумышленникам выполнять произвольный код через специально созданный jnlp-файл, который изменяет (1) java.home, (2) java.ext.dirs или (3) user.home System Properties, также известный как "Java Web Start File Inclusion" и CR 6694892.
CVE-2008-1195Неуказанная уязвимость в Sun JDK и Java Runtime Environment (JRE) 6 Update 4 и более ранних версий и 5.0 Update 14 и более ранних версий; и SDK и JRE 1.4.2_16 и более ранних версий позволяет удаленным злоумышленникам получать доступ к произвольным сетевым службам на локальном хосте через неуказанные векторы, связанные с JavaScript и Java API.
CVE-2008-1193Неуказанная уязвимость в Java Runtime Environment Image Parsing Library в Sun JDK и JRE 6 Update 4 и более ранних версий и 5.0 Update 14 и более ранних версий позволяет удаленным злоумышленникам получать привилегии через ненадежное приложение.
CVE-2008-1190Неуказанная уязвимость в Java Web Start в Sun JDK и JRE 6 Update 4 и более ранних версий, 5.0 Update 14 и более ранних версий и SDK/JRE 1.4.2_16 и более ранних версий позволяет удаленным злоумышленникам получать привилегии через ненадежное приложение, что является другой проблемой, чем CVE-2008-1191, также известная как "четвертая" проблема.
CVE-2008-1188Множественные переполнения буфера в функции useEncodingDecl в Java Web Start в Sun JDK и JRE 6 Update 4 и более ранних версий и 5.0 Update 14 и более ранних версий позволяют удаленным злоумышленникам выполнять произвольный код через JNLP-файл с (1) длинным именем ключа в заголовке XML или (2) длинным значением charset, что является другой проблемой, чем CVE-2008-1189, также известная как "Первые две проблемы".
CVE-2007-4381Неуказанная уязвимость в реализации синтаксического анализа шрифтов в Sun JDK и JRE 5.0 Update 9 и более ранних версиях, а также SDK и JRE 1.4.2_14 и более ранних версиях позволяет удаленным злоумышленникам выполнять несанкционированные действия через апплет, который предоставляет себе определенные привилегии.
CVE-2006-6745Множественные неуказанные уязвимости в Sun Java Development Kit (JDK) и Java Runtime Environment (JRE) 5.0 Update 7 и более ранних версиях, а также Java System Development Kit (SDK) и JRE 1.4.2_12 и более ранних 1.4.x версиях позволяют злоумышленникам разрабатывать Java-апплеты или приложения, которые могут получить привилегии, связанные с сериализацией в JRE.