Java-1.7.0-ibm
Уязвимости
403
Эксплуатируемые
10
Макс. CVSS
9.8
Макс. EPSS
0.99999
Распределение по критичности
Критический
12
Высокий
15
Средний
344
Низкий
30
Также сопоставлено как (исходные строки): java-1.7.0-ibm
Топ уязвимостей
CVE-2016-3427Неуказанная уязвимость в Oracle Java SE 6u113, 7u99 и 8u77; Java SE Embedded 8u77; и JRockit R28.3.9 позволяет удаленным злоумышленникам влиять на конфиденциальность, целостность и доступность через векторы, связанные с JMX.
CVE-2015-2590Неуточненная уязвимость в Oracle Java SE 6u95, 7u80 и 8u45, а также Java SE Embedded 7u75 и 8u33 позволяет удаленным злоумышленникам влиять на конфиденциальность, целостность и доступность через неизвестные векторы, связанные с библиотеками, отличная от уязвимости CVE-2015-4732.
CVE-2015-0192Неуказанная уязвимость в IBM Java 8 до SR1, 7 R1 до SR2 FP11, 7 до SR9, 6 R1 до SR8 FP4, 6 до SR16 FP4 и 5.0 до SR16 FP10 позволяет удаленным злоумышленникам получать привилегии через неизвестные векторы, связанные с виртуальной машиной Java.
CVE-2013-2465Неопределенная уязвимость в компоненте Java Runtime Environment (JRE) в Oracle Java SE 7 Update 21 и более ранних версиях, 6 Update 45 и более ранних версиях, и 5.0 Update 45 и более ранних версиях, а также OpenJDK 7, позволяет удаленным злоумышленникам влиять на конфиденциальность, целостность и доступность через неизвестные векторы, связанные с 2D. ПРИМЕЧАНИЕ: предыдущая информация получена из CPU за июнь 2013 года. Oracle не прокомментировала заявления другого поставщика о том, что эта проблема позволяет удаленным злоумышленникам обойти песочницу Java через векторы, связанные с "Неправильной проверкой канала изображения" в 2D.
CVE-2013-0422Несколько уязвимостей в Oracle Java 7 до обновления 11 позволяют удаленным злоумышленникам выполнять произвольный код, (1) используя открытый метод getMBeanInstantiator в классе JmxMBeanServer для получения ссылки на частный объект MBeanInstantiator, затем получая произвольные ссылки класса с помощью метода findClass, и (2) используя API рефлексии с рекурсией так, что обходится проверка безопасности методом java.lang.invoke.MethodHandles.Lookup.checkSecurityManager, из-за невозможности метода sun.reflect.Reflection.getCallerClass пропустить кадры, связанные с новым API рефлексии, как было использовано в природе в январе 2013 года, как показано Blackhole и Nuclear Pack, и это другая уязвимость, чем CVE-2012-4681 и CVE-2012-3174. ПРИМЕЧАНИЕ: некоторые стороны сопоставили проблему рекурсивного API рефлексии с CVE-2012-3174, но CVE-2012-3174 относится к другой уязвимости, детали которой не являются публичными по состоянию на 20130114. CVE-2013-0422 охватывает как проблемы JMX/MBean, так и API рефлексии. ПРИМЕЧАНИЕ: первоначально сообщалось, что Java 6 также уязвима, но репортер опроверг это заявление, заявив, что Java 6 не уязвима, поскольку соответствующий код вызывается так, что не обходятся проверки безопасности. ПРИМЕЧАНИЕ: по состоянию на 20130114 надежная третья сторона утверждала, что в Oracle Java 7 Update 11 вектор findClass/MBeanInstantiator не был исправлен. Если все еще присутствует уязвимое состояние, может быть создан отдельный идентификатор CVE для не исправленной проблемы.
CVE-2012-5076Неопределенная уязвимость в компоненте Java Runtime Environment (JRE) в Oracle Java SE 7 Update 7 и более ранних версиях позволяет удаленным злоумышленникам повлиять на конфиденциальность, целостность и доступность, связанная с JAX-WS.
CVE-2012-4681Несколько уязвимостей в компоненте Java Runtime Environment (JRE) в Oracle Java SE 7 Update 6 и более ранних версиях позволяют удаленным злоумышленникам выполнять произвольный код через специальный апплет, который обходит ограничения SecurityManager, (1) используя метод com.sun.beans.finder.ClassFinder.findClass и используя исключение с методом forName для доступа к ограниченным классам из произвольных пакетов, таких как sun.awt.SunToolkit, а затем (2) используя "рефлексию с доверенным немедленным вызовом", чтобы использовать метод getField для доступа и изменения закрытых полей, как было использовано в природе в августе 2012 года с использованием Gondzz.class и Gondvv.class.
CVE-2011-3544Неопределённая уязвимость в компоненте Java Runtime Environment в Oracle Java SE JDK и JRE 7 и 6 Update 27 и более ранние позволяет удалённым недоверенным Java Web Start приложениям и недоверенным Java Applet'ам влиять на конфиденциальность, целостность и доступность через неизвестные векторы, связанные с скриптованием.
CVE-2016-3443Неуказанная уязвимость в Oracle Java SE 6u113, 7u99 и 8u77 позволяет удаленным злоумышленникам влиять на конфиденциальность, целостность и доступность через векторы, связанные с 2D. ПРИМЕЧАНИЕ: Предыдущая информация взята из CPU за апрель 2016 года. Oracle не комментировала утверждения третьих лиц о том, что эта проблема позволяет удаленным злоумышленникам получать конфиденциальную информацию через специально созданные данные шрифта, которые вызывают чтение за пределами границ.
CVE-2016-0687Неуказанная уязвимость в Oracle Java SE 6u113, 7u99 и 8u77 и Java SE Embedded 8u77 позволяет удаленным злоумышленникам влиять на конфиденциальность, целостность и доступность через векторы, связанные с подкомпонентом Hotspot.
CVE-2016-0686Неуказанная уязвимость в Oracle Java SE 6u113, 7u99 и 8u77 и Java SE Embedded 8u77 позволяет удаленным злоумышленникам влиять на конфиденциальность, целостность и доступность через векторы, связанные с Serialization.
CVE-2015-5041J9 JVM в IBM SDK, Java Technology Edition 6 до SR16 FP20, 6 R1 до SR8 FP20, 7 до SR9 FP30 и 7 R1 до SR3 FP30 позволяет удаленным злоумышленникам получать конфиденциальную информацию или внедрять данные, вызывая непубличные методы интерфейса.
CVE-2017-3289Уязвимость в компоненте Java SE, Java SE Embedded продукта Oracle Java SE (подкомпонент: Hotspot). Поддерживаемые версии, подверженные уязвимости: Java SE: 7u121 и 8u112; Java SE Embedded: 8u111. Легко эксплуатируемая уязвимость позволяет не прошедшему проверку подлинности злоумышленнику, имеющему доступ к сети через несколько протоколов, скомпрометировать Java SE, Java SE Embedded. Для успешных атак требуется взаимодействие с человеком, отличным от злоумышленника, и, хотя уязвимость находится в Java SE, Java SE Embedded, атаки могут значительно повлиять на дополнительные продукты. Успешные атаки этой уязвимости могут привести к захвату Java SE, Java SE Embedded. Примечание: эта уязвимость относится к развертываниям Java, обычно в клиентах, запускающих приложения Java Web Start в изолированной программной среде или апплеты Java в изолированной программной среде, которые загружают и запускают ненадежный код (например, код, поступающий из Интернета) и полагаются на изолированную программную среду Java для обеспечения безопасности. Эта уязвимость не относится к развертываниям Java, обычно на серверах, которые загружают и запускают только доверенный код (например, код, установленный администратором). Базовая оценка CVSS v3.0 9.6 (воздействие на конфиденциальность, целостность и доступность).
CVE-2017-3272Уязвимость в компоненте Java SE, Java SE Embedded Oracle Java SE (субкомпонент: Libraries). Поддерживаемые версии: Java SE: 6u131, 7u121 и 8u112; Java SE Embedded: 8u111. Легко эксплуатируемая уязвимость позволяет не прошедшему проверку подлинности злоумышленнику, имеющему сетевой доступ через несколько протоколов, скомпрометировать Java SE, Java SE Embedded. Для успешных атак требуется взаимодействие с человеком, отличным от злоумышленника, и, хотя уязвимость находится в Java SE, Java SE Embedded, атаки могут значительно повлиять на дополнительные продукты. Успешные атаки этой уязвимости могут привести к захвату Java SE, Java SE Embedded. Примечание: эта уязвимость относится к развертываниям Java, обычно в клиентах, запускающих приложения Java Web Start или апплеты Java в изолированной среде, которые загружают и запускают ненадежный код (например, код, поступающий из Интернета) и полагаются на изолированную среду Java для обеспечения безопасности. Эта уязвимость не относится к развертываниям Java, обычно на серверах, которые загружают и запускают только доверенный код (например, код, установленный администратором). CVSS v3.0 Базовая оценка 9.6 (Воздействие на конфиденциальность, целостность и доступность).
CVE-2016-5556Неуказанная уязвимость в Oracle Java SE 6u121, 7u111 и 8u102 позволяет удаленным злоумышленникам влиять на конфиденциальность, целостность и доступность через векторы, связанные с 2D.
CVE-2016-3598Неуказанная уязвимость в Oracle Java SE 8u92 и Java SE Embedded 8u91 позволяет удаленным злоумышленникам влиять на конфиденциальность, целостность и доступность через векторы, связанные с Libraries, что является другой уязвимостью, чем CVE-2016-3610.
CVE-2015-8540Целочисленное переполнение в функции png_check_keyword в pngwutil.c в libpng 0.90 до 0.99, 1.0.x до 1.0.66, 1.1.x и 1.2.x до 1.2.56, 1.3.x и 1.4.x до 1.4.19 и 1.5.x до 1.5.26 позволяет удаленным злоумышленникам оказывать неопределенное воздействие через пробел в качестве ключевого слова в PNG-изображении, что вызывает чтение за пределами границ.
CVE-2016-3449Неуказанная уязвимость в Oracle Java SE 6u113, 7u99 и 8u77 позволяет удаленным злоумышленникам воздействовать на конфиденциальность, целостность и доступность через векторы, связанные с Deployment.
CVE-2017-3241Уязвимость в компоненте Java SE, Java SE Embedded, JRockit в Oracle Java SE (подкомпонент: RMI). Поддерживаемые версии, подверженные уязвимости: Java SE: 6u131, 7u121 и 8u112; Java SE Embedded: 8u111; JRockit: R28.3.12. Сложная для эксплуатации уязвимость позволяет не прошедшему проверку подлинности злоумышленнику с сетевым доступом через несколько протоколов скомпрометировать Java SE, Java SE Embedded, JRockit. Хотя уязвимость находится в Java SE, Java SE Embedded, JRockit, атаки могут значительно повлиять на дополнительные продукты. Успешные атаки с использованием этой уязвимости могут привести к захвату Java SE, Java SE Embedded, JRockit. Примечание: Эта уязвимость может быть использована только путем предоставления данных API в указанном компоненте без использования ненадежных приложений Java Web Start или ненадежных Java-апплетов, например, через веб-сервис. Базовая оценка CVSS v3.0 9.0 (воздействие на конфиденциальность, целостность и доступность).
CVE-2016-0376Класс com.ibm.rmi.io.SunSerializableFactory в IBM SDK, Java Technology Edition 6 до SR16 FP25 (6.0.16.25), 6 R1 до SR8 FP25 (6.1.8.25), 7 до SR9 FP40 (7.0.9.40), 7 R1 до SR3 FP40 (7.1.3.40) и 8 до SR3 (8.0.3.0) неправильно десериализует классы в блоке AccessController doPrivileged, что позволяет удаленным злоумышленникам обходить механизм защиты песочницы и выполнять произвольный код, как продемонстрировано методом readValue класса com.ibm.rmi.io.ValueHandlerPool.ValueHandlerSingleton, который реализует интерфейс javax.rmi.CORBA.ValueHandler. ПРИМЕЧАНИЕ: эта уязвимость существует из-за неполного исправления для CVE-2013-5456.
CVE-2016-0363Класс com.ibm.CORBA.iiop.ClientDelegate в IBM SDK, Java Technology Edition 6 до SR16 FP25 (6.0.16.25), 6 R1 до SR8 FP25 (6.1.8.25), 7 до SR9 FP40 (7.0.9.40), 7 R1 до SR3 FP40 (7.1.3.40) и 8 до SR3 (8.0.3.0) использует метод invoke класса java.lang.reflect.Method в блоке AccessController doPrivileged, что позволяет удаленным злоумышленникам вызывать setSecurityManager и обходить механизм защиты песочницы через векторы, связанные с экземпляром объекта Proxy, реализующим интерфейс java.lang.reflect.InvocationHandler. ПРИМЕЧАНИЕ: эта уязвимость существует из-за неполного исправления для CVE-2013-3009.
CVE-2017-3253Уязвимость в компоненте Java SE, Java SE Embedded, JRockit в Oracle Java SE (подкомпонент: 2D). Поддерживаемые версии, подверженные уязвимости: Java SE: 6u131, 7u121 и 8u112; Java SE Embedded: 8u111; JRockit: R28.3.12. Легко эксплуатируемая уязвимость позволяет не прошедшему проверку подлинности злоумышленнику с сетевым доступом через несколько протоколов скомпрометировать Java SE, Java SE Embedded, JRockit. Успешные атаки с использованием этой уязвимости могут привести к несанкционированной возможности вызвать зависание или часто повторяющийся сбой (полный отказ в обслуживании) Java SE, Java SE Embedded, JRockit. Примечание: Применяется к клиентским и серверным развертываниям Java. Эта уязвимость может быть использована через изолированные приложения Java Web Start и изолированные Java-апплеты. Она также может быть использована путем предоставления данных API в указанном компоненте без использования изолированных приложений Java Web Start или изолированных Java-апплетов, например, через веб-сервис. Базовая оценка CVSS v3.0 7.5 (воздействие на доступность).
CVE-2016-5573Неуказанная уязвимость в Oracle Java SE 6u121, 7u111, 8u102; и Java SE Embedded 8u101 позволяет удаленным злоумышленникам влиять на конфиденциальность, целостность и доступность через векторы, связанные с Hotspot, уязвимость, отличная от CVE-2016-5582.
CVE-2016-5546Уязвимость в компоненте Java SE, Java SE Embedded, JRockit в Oracle Java SE (подкомпонент: Libraries). Поддерживаемые версии: Java SE: 6u131, 7u121 и 8u112; Java SE Embedded: 8u111; JRockit: R28.3.12. Легко эксплуатируемая уязвимость позволяет неаутентифицированному злоумышленнику с сетевым доступом через несколько протоколов скомпрометировать Java SE, Java SE Embedded, JRockit. Успешные атаки этой уязвимости могут привести к несанкционированному созданию, удалению или изменению доступа к критическим данным или ко всем доступным данным Java SE, Java SE Embedded, JRockit. Примечание: Относится к клиентскому и серверному развертыванию Java. Эта уязвимость может быть использована через изолированные приложения Java Web Start и изолированные Java-апплеты. Она также может быть использована путем предоставления данных API в указанном компоненте без использования изолированных приложений Java Web Start или изолированных Java-апплетов, например, через веб-сервис. Базовая оценка CVSS v3.0 7.5 (воздействие на целостность).
CVE-2016-2183Шифры DES и Triple DES, используемые в протоколах TLS, SSH и IPSec, а также в других протоколах и продуктах, имеют предел birthday bound, составляющий примерно четыре миллиарда блоков, что упрощает удаленным злоумышленникам получение данных в открытом виде с помощью birthday attack против зашифрованного сеанса длительного действия, как показано на примере сеанса HTTPS, использующего Triple DES в режиме CBC, также известного как атака "Sweet32".