Java-1.5.0-sun
Уязвимости
117
Эксплуатируемые
1
Макс. CVSS
10
Макс. EPSS
0.96166
Распределение по критичности
Критический
22
Высокий
21
Средний
68
Низкий
6
Также сопоставлено как (исходные строки): java-1.5.0-sun
Топ уязвимостей
CVE-2008-5353Java Runtime Environment (JRE) для Sun JDK и JRE 6 Update 10 и более ранних версий; JDK и JRE 5.0 Update 16 и более ранних версий; и SDK и JRE 1.4.2_18 и более ранних версий неправильно применяет контекст объектов ZoneInfo во время десериализации, что позволяет удаленным злоумышленникам запускать ненадежные апплеты и приложения в привилегированном контексте, как показано на примере "десериализации объектов Calendar".
CVE-2008-5340Неуказанная уязвимость в Java Web Start (JWS) и Java Plug-in с Sun JDK и JRE 6 Update 10 и более ранних версиях; JDK и JRE 5.0 Update 16 и более ранних версиях; и SDK и JRE 1.4.2_18 и более ранних версиях позволяет ненадежным приложениям JWS получать привилегии для доступа к локальным файлам или приложениям через неизвестные векторы, также известная как 6727081.
CVE-2008-3113Неуказанная уязвимость в Sun Java Web Start в JDK и JRE 5.0 до Update 16 и SDK и JRE 1.4.x до 1.4.2_18 позволяет удаленным злоумышленникам создавать или удалять произвольные файлы через ненадежное приложение, также известное как CR 6704077.
CVE-2008-3112Уязвимость обхода каталогов в Sun Java Web Start в JDK и JRE 6 до Update 7, JDK и JRE 5.0 до Update 16 и SDK и JRE 1.4.x до 1.4.2_18 позволяет удаленным злоумышленникам создавать произвольные файлы через метод writeManifest в классе CacheEntry, также известный как CR 6703909.
CVE-2008-3111Множественные переполнения буфера в Sun Java Web Start в JDK и JRE 6 до Update 4, JDK и JRE 5.0 до Update 16 и SDK и JRE 1.4.x до 1.4.2_18 позволяют зависящим от контекста злоумышленникам получать привилегии через ненадежное приложение, как продемонстрировано (a) приложением, которое предоставляет себе привилегии для (1) чтения локальных файлов, (2) записи в локальные файлы или (3) выполнения локальных программ; и как продемонстрировано (b) длинным значением, связанным с атрибутом java-vm-args в теге j2se в файле JNLP, который вызывает переполнение буфера на основе стека в функции GetVMArgsOption; также известное как CR 6557220.
CVE-2008-3107Неуказанная уязвимость в виртуальной машине в Sun Java Runtime Environment (JRE) в JDK и JRE 6 до Update 7, JDK и JRE 5.0 до Update 16 и SDK и JRE 1.4.x до 1.4.2_18 позволяет зависящим от контекста злоумышленникам получать привилегии через ненадежное (1) приложение или (2) апплет, как продемонстрировано приложением или апплетом, который предоставляет себе привилегии для (a) чтения локальных файлов, (b) записи в локальные файлы или (c) выполнения локальных программ.
CVE-2008-0657Множественные неуказанные уязвимости в Java Runtime Environment в Sun JDK и JRE 6 Update 1 и более ранних версиях, а также 5.0 Update 13 и более ранних версиях позволяют зависящим от контекста злоумышленникам получать привилегии через ненадежное (1) приложение или (2) апплет, как продемонстрировано приложением или апплетом, который предоставляет себе привилегии для (a) чтения локальных файлов, (b) записи в локальные файлы или (c) выполнения локальных программ.
CVE-2007-5689Виртуальная машина Java (JVM) в Sun Java Runtime Environment (JRE) в SDK и JRE 1.3.x до 1.3.1_20 и 1.4.x до 1.4.2_15, и JDK и JRE 5.x до 5.0 Update 12 и 6.x до 6 Update 2 позволяет удаленным злоумышленникам выполнять произвольные программы или читать или изменять произвольные файлы через апплеты, которые предоставляют привилегии самим себе.
CVE-2010-0840Неопределённая уязвимость в компоненте Java Runtime Environment в Oracle Java SE и Java для бизнеса 6 Update 18, 5.0 Update 23 и 1.4.2_25 позволяет удалённым злоумышленникам влиять на конфиденциальность, целостность и доступность через неизвестные векторы. ЗАМЕТКА: предыдущая информация была получена из CPU Oracle в марте 2010 года. Oracle не комментировала утверждения надежного исследователя о том, что это связано с неправильной проверкой при выполнении привилегированных методов в Java Runtime Environment (JRE), что позволяет злоумышленникам выполнять произвольный код через (1) ненадежный объект, который расширяет доверенный класс, но не изменил определённый метод, или (2) "аналогичная проблема доверия с интерфейсами", известная как "Уязвимость выполнения удалённого кода через цепочку доверенных методов."
CVE-2009-3555Протокол TLS, а также протокол SSL 3.0 и, возможно, более ранние версии, используемые в Microsoft Internet Information Services (IIS) 7.0, mod_ssl в Apache HTTP Server 2.2.14 и более ранних версиях, OpenSSL до 0.9.8l, GnuTLS 2.8.5 и более ранних версиях, Mozilla Network Security Services (NSS) 3.12.4 и более ранних версиях, нескольких продуктах Cisco и других продуктах, неправильно связывает рукопожатия пересогласования с существующим соединением, что позволяет злоумышленникам "человек посередине" вставлять данные в HTTPS-сессии и, возможно, другие типы сессий, защищенные TLS или SSL, отправляя неаутентифицированный запрос, который обрабатывается ретроактивно сервером в контексте после пересогласования, что связано с атакой "plaintext injection", также известной как проблема "Project Mogul".
CVE-2008-5359Переполнение буфера в Java Runtime Environment (JRE) для Sun JDK и JRE 6 Update 10 и более ранних версий; JDK и JRE 5.0 Update 16 и более ранних версий; SDK и JRE 1.4.2_18 и более ранних версий; и SDK и JRE 1.3.1_23 и более ранних версий может позволить удаленным злоумышленникам выполнять произвольный код, связанный с операцией ConvolveOp в библиотеке Java AWT.
CVE-2008-5354Переполнение буфера на основе стека в Java Runtime Environment (JRE) для Sun JDK и JRE 6 Update 10 и более ранних версий; JDK и JRE 5.0 Update 16 и более ранних версий; и SDK и JRE 1.4.2_18 и более ранних версий позволяет локально запущенным и, возможно, удаленным ненадежным Java-приложениям выполнять произвольный код через JAR-файл с длинной записью Main-Class в манифесте.
CVE-2008-5352Переполнение целого числа в утилите распаковки JAR (unpack200) в библиотеке распаковки (unpack.dll) в Java Runtime Environment (JRE) для Sun JDK и JRE 6 Update 10 и более ранних версий, и JDK и JRE 5.0 Update 16 и более ранних версий позволяет ненадежным приложениям и апплетам получать привилегии через сжатый файл JAR Pack200, который вызывает переполнение буфера на основе кучи.
CVE-2008-3103Неуказанная уязвимость в агенте управления Java Management Extensions (JMX) в Sun Java Runtime Environment (JRE) в JDK и JRE 6 Update 6 и более ранних версиях, а также JDK и JRE 5.0 Update 15 и более ранних версиях, когда включено локальное наблюдение, позволяет удаленным злоумышленникам «выполнять несанкционированные операции» через неуказанные векторы.
CVE-2008-2086Sun Java Web Start и Java Plug-in для JDK и JRE 6 Update 10 и более ранних версий; JDK и JRE 5.0 Update 16 и более ранних версий; и SDK и JRE 1.4.2_18 и более ранних версий позволяют удаленным злоумышленникам выполнять произвольный код через специально созданный jnlp-файл, который изменяет (1) java.home, (2) java.ext.dirs или (3) user.home System Properties, также известный как "Java Web Start File Inclusion" и CR 6694892.
CVE-2008-1195Неуказанная уязвимость в Sun JDK и Java Runtime Environment (JRE) 6 Update 4 и более ранних версий и 5.0 Update 14 и более ранних версий; и SDK и JRE 1.4.2_16 и более ранних версий позволяет удаленным злоумышленникам получать доступ к произвольным сетевым службам на локальном хосте через неуказанные векторы, связанные с JavaScript и Java API.
CVE-2008-1193Неуказанная уязвимость в Java Runtime Environment Image Parsing Library в Sun JDK и JRE 6 Update 4 и более ранних версий и 5.0 Update 14 и более ранних версий позволяет удаленным злоумышленникам получать привилегии через ненадежное приложение.
CVE-2008-1190Неуказанная уязвимость в Java Web Start в Sun JDK и JRE 6 Update 4 и более ранних версий, 5.0 Update 14 и более ранних версий и SDK/JRE 1.4.2_16 и более ранних версий позволяет удаленным злоумышленникам получать привилегии через ненадежное приложение, что является другой проблемой, чем CVE-2008-1191, также известная как "четвертая" проблема.
CVE-2008-1188Множественные переполнения буфера в функции useEncodingDecl в Java Web Start в Sun JDK и JRE 6 Update 4 и более ранних версий и 5.0 Update 14 и более ранних версий позволяют удаленным злоумышленникам выполнять произвольный код через JNLP-файл с (1) длинным именем ключа в заголовке XML или (2) длинным значением charset, что является другой проблемой, чем CVE-2008-1189, также известная как "Первые две проблемы".
CVE-2008-1186Неуказанная уязвимость в Virtual Machine для Sun Java Runtime Environment (JRE) и JDK 5.0 Update 13 и более ранних версий и SDK/JRE 1.4.2_16 и более ранних версий позволяет удаленным злоумышленникам получать привилегии через ненадежное приложение или апплет, что является другой проблемой, чем CVE-2008-1185, также известная как "вторая проблема".
CVE-2008-1185Неуказанная уязвимость в Virtual Machine для Sun Java Runtime Environment (JRE) и JDK 6 Update 4 и более ранних версий, 5.0 Update 14 и более ранних версий и SDK/JRE 1.4.2_16 и более ранних версий позволяет удаленным злоумышленникам получать привилегии через ненадежное приложение или апплет, что является другой проблемой, чем CVE-2008-1186, также известная как "первая проблема".
CVE-2008-5343Java Web Start (JWS) и Java Plug-in с Sun JDK и JRE 6 Update 10 и более ранних версиях; JDK и JRE 5.0 Update 16 и более ранних версиях; и SDK и JRE 1.4.2_18 и более ранних версиях позволяет удаленным злоумышленникам устанавливать неавторизованные сетевые подключения и перехватывать HTTP-сессии через специально созданный файл, который проходит проверку как GIF и Java JAR файл, также известная как "GIFAR" и CR 6707535.
CVE-2007-3698Java Secure Socket Extension (JSSE) в Sun JDK и JRE 6 Update 1 и более ранних версиях, JDK и JRE 5.0 Updates 7-11, а также SDK и JRE 1.4.2_11-1.4.2_14 при использовании JSSE для поддержки SSL/TLS позволяет удаленным злоумышленникам вызывать отказ в обслуживании (потребление ЦП) через определенные запросы подтверждения SSL/TLS.
CVE-2010-0849Неуказанная уязвимость в компоненте Java 2D в Oracle Java SE и Java for Business 6 Update 18, 5.0 Update 23, 1.4.2_25 и 1.3.1_27 позволяет удаленным злоумышленникам воздействовать на конфиденциальность, целостность и доступность через неизвестные векторы. ПРИМЕЧАНИЕ: Предыдущая информация была получена из CPU за март 2010 года. Oracle не прокомментировала заявления надежного исследователя о том, что это переполнение буфера на основе кучи в подпрограмме декодирования, используемой интерфейсом JPEGImageDecoderImpl, которое позволяет выполнять код через созданное изображение JPEG.
CVE-2010-0848Неуказанная уязвимость в компоненте Java 2D в Oracle Java SE и Java for Business 6 Update 18, 5.0 Update 23, 1.4.2_25 и 1.3.1_27 позволяет удаленным злоумышленникам воздействовать на конфиденциальность, целостность и доступность через неизвестные векторы.