Sdk
Уязвимости
127
Эксплуатируемые
0
Макс. CVSS
10
Макс. EPSS
0.84807
Распределение по критичности
Критический
24
Высокий
31
Средний
66
Низкий
6
Затронутые диапазоны версий
1.3.0–1.3.1_16≤ 1.3.1_20≤ 1.3.1_27≤ 1.4.2_13≤ 1.4.2_14≤ 1.4.2_15≤ 1.4.2_16≤ 1.4.2_17≤ 1.4.2_18≤ 1.4.2_19≤ 1.4.2_21≤ 1.4.2_25≤ 1.4.2_27≤ 1.4.2_29≤ 1.4.3_13
Также сопоставлено как (исходные строки): jdk,sdk,virtual_machine,java_web_start,java_enterprise_system,jre,rte,java_jre-jdk,jrockit,java_se,mac_os_runtime_for_java
Топ уязвимостей
CVE-2009-1006Неуказанная уязвимость в компоненте JRockit в BEA Product Suite R27.6.2 и более ранних версиях, с SDK/JRE 1.4.2, JRE/JDK 5 и JRE/JDK 6, позволяет удаленным злоумышленникам воздействовать на конфиденциальность, целостность и доступность через неизвестные векторы.
CVE-2008-5355Функция "Java Update" для Java Runtime Environment (JRE) для Sun JDK и JRE 6 Update 10 и более ранних версий; JDK и JRE 5.0 Update 16 и более ранних версий; и SDK и JRE 1.4.2_18 и более ранних версий не проверяет подпись загруженного JRE, что позволяет удаленным злоумышленникам выполнять произвольный код через атаки типа "человек посередине" с использованием DNS.
CVE-2008-5353Java Runtime Environment (JRE) для Sun JDK и JRE 6 Update 10 и более ранних версий; JDK и JRE 5.0 Update 16 и более ранних версий; и SDK и JRE 1.4.2_18 и более ранних версий неправильно применяет контекст объектов ZoneInfo во время десериализации, что позволяет удаленным злоумышленникам запускать ненадежные апплеты и приложения в привилегированном контексте, как показано на примере "десериализации объектов Calendar".
CVE-2008-5340Неуказанная уязвимость в Java Web Start (JWS) и Java Plug-in с Sun JDK и JRE 6 Update 10 и более ранних версиях; JDK и JRE 5.0 Update 16 и более ранних версиях; и SDK и JRE 1.4.2_18 и более ранних версиях позволяет ненадежным приложениям JWS получать привилегии для доступа к локальным файлам или приложениям через неизвестные векторы, также известная как 6727081.
CVE-2008-3113Неуказанная уязвимость в Sun Java Web Start в JDK и JRE 5.0 до Update 16 и SDK и JRE 1.4.x до 1.4.2_18 позволяет удаленным злоумышленникам создавать или удалять произвольные файлы через ненадежное приложение, также известное как CR 6704077.
CVE-2008-3112Уязвимость обхода каталогов в Sun Java Web Start в JDK и JRE 6 до Update 7, JDK и JRE 5.0 до Update 16 и SDK и JRE 1.4.x до 1.4.2_18 позволяет удаленным злоумышленникам создавать произвольные файлы через метод writeManifest в классе CacheEntry, также известный как CR 6703909.
CVE-2008-3111Множественные переполнения буфера в Sun Java Web Start в JDK и JRE 6 до Update 4, JDK и JRE 5.0 до Update 16 и SDK и JRE 1.4.x до 1.4.2_18 позволяют зависящим от контекста злоумышленникам получать привилегии через ненадежное приложение, как продемонстрировано (a) приложением, которое предоставляет себе привилегии для (1) чтения локальных файлов, (2) записи в локальные файлы или (3) выполнения локальных программ; и как продемонстрировано (b) длинным значением, связанным с атрибутом java-vm-args в теге j2se в файле JNLP, который вызывает переполнение буфера на основе стека в функции GetVMArgsOption; также известное как CR 6557220.
CVE-2008-3108Переполнение буфера в Sun Java Runtime Environment (JRE) в JDK и JRE 5.0 до Update 10, SDK и JRE 1.4.x до 1.4.2_18 и SDK и JRE 1.3.x до 1.3.1_23 позволяет зависящим от контекста злоумышленникам получать привилегии через неуказанные векторы, связанные с обработкой шрифтов.
CVE-2008-3107Неуказанная уязвимость в виртуальной машине в Sun Java Runtime Environment (JRE) в JDK и JRE 6 до Update 7, JDK и JRE 5.0 до Update 16 и SDK и JRE 1.4.x до 1.4.2_18 позволяет зависящим от контекста злоумышленникам получать привилегии через ненадежное (1) приложение или (2) апплет, как продемонстрировано приложением или апплетом, который предоставляет себе привилегии для (a) чтения локальных файлов, (b) записи в локальные файлы или (c) выполнения локальных программ.
CVE-2007-5689Виртуальная машина Java (JVM) в Sun Java Runtime Environment (JRE) в SDK и JRE 1.3.x до 1.3.1_20 и 1.4.x до 1.4.2_15, и JDK и JRE 5.x до 5.0 Update 12 и 6.x до 6 Update 2 позволяет удаленным злоумышленникам выполнять произвольные программы или читать или изменять произвольные файлы через апплеты, которые предоставляют привилегии самим себе.
CVE-2007-5019Переполнение буфера в элементе управления Sun Java Web Start ActiveX в Java Runtime Environment (JRE) 1.6.0_X позволяет удаленным злоумышленникам оказывать неизвестное воздействие через длинный аргумент в методе dnsResolve (isInstalled.dnsResolve).
CVE-2007-2435Sun Java Web Start в JDK и JRE 5.0 Update 10 и более ранних версиях, а также Java Web Start в SDK и JRE 1.4.2_13 и более ранних версиях позволяет удаленным злоумышленникам выполнять несанкционированные действия через приложение, которое предоставляет привилегии самому себе, что связано с «Неправильным использованием системных классов» и, вероятно, связано с поддержкой файлов JNLP.
CVE-2004-2764Sun SDK и Java Runtime Environment (JRE) 1.4.2-1.4.2_04, 1.4.1-1.4.1_07 и 1.4.0-1.4.0_04 позволяют ненадежным апплетам и непривилегированным сервлетам получать привилегии и считывать данные из других апплетов через неопределенные векторы, связанные с классами в XSLT-процессоре, также известном как "XML sniffing".
CVE-2008-5359Переполнение буфера в Java Runtime Environment (JRE) для Sun JDK и JRE 6 Update 10 и более ранних версий; JDK и JRE 5.0 Update 16 и более ранних версий; SDK и JRE 1.4.2_18 и более ранних версий; и SDK и JRE 1.3.1_23 и более ранних версий может позволить удаленным злоумышленникам выполнять произвольный код, связанный с операцией ConvolveOp в библиотеке Java AWT.
CVE-2008-5354Переполнение буфера на основе стека в Java Runtime Environment (JRE) для Sun JDK и JRE 6 Update 10 и более ранних версий; JDK и JRE 5.0 Update 16 и более ранних версий; и SDK и JRE 1.4.2_18 и более ранних версий позволяет локально запущенным и, возможно, удаленным ненадежным Java-приложениям выполнять произвольный код через JAR-файл с длинной записью Main-Class в манифесте.
CVE-2008-2086Sun Java Web Start и Java Plug-in для JDK и JRE 6 Update 10 и более ранних версий; JDK и JRE 5.0 Update 16 и более ранних версий; и SDK и JRE 1.4.2_18 и более ранних версий позволяют удаленным злоумышленникам выполнять произвольный код через специально созданный jnlp-файл, который изменяет (1) java.home, (2) java.ext.dirs или (3) user.home System Properties, также известный как "Java Web Start File Inclusion" и CR 6694892.
CVE-2008-1195Неуказанная уязвимость в Sun JDK и Java Runtime Environment (JRE) 6 Update 4 и более ранних версий и 5.0 Update 14 и более ранних версий; и SDK и JRE 1.4.2_16 и более ранних версий позволяет удаленным злоумышленникам получать доступ к произвольным сетевым службам на локальном хосте через неуказанные векторы, связанные с JavaScript и Java API.
CVE-2008-1190Неуказанная уязвимость в Java Web Start в Sun JDK и JRE 6 Update 4 и более ранних версий, 5.0 Update 14 и более ранних версий и SDK/JRE 1.4.2_16 и более ранних версий позволяет удаленным злоумышленникам получать привилегии через ненадежное приложение, что является другой проблемой, чем CVE-2008-1191, также известная как "четвертая" проблема.
CVE-2008-1186Неуказанная уязвимость в Virtual Machine для Sun Java Runtime Environment (JRE) и JDK 5.0 Update 13 и более ранних версий и SDK/JRE 1.4.2_16 и более ранних версий позволяет удаленным злоумышленникам получать привилегии через ненадежное приложение или апплет, что является другой проблемой, чем CVE-2008-1185, также известная как "вторая проблема".
CVE-2008-1185Неуказанная уязвимость в Virtual Machine для Sun Java Runtime Environment (JRE) и JDK 6 Update 4 и более ранних версий, 5.0 Update 14 и более ранних версий и SDK/JRE 1.4.2_16 и более ранних версий позволяет удаленным злоумышленникам получать привилегии через ненадежное приложение или апплет, что является другой проблемой, чем CVE-2008-1186, также известная как "первая проблема".
CVE-2007-4381Неуказанная уязвимость в реализации синтаксического анализа шрифтов в Sun JDK и JRE 5.0 Update 9 и более ранних версиях, а также SDK и JRE 1.4.2_14 и более ранних версиях позволяет удаленным злоумышленникам выполнять несанкционированные действия через апплет, который предоставляет себе определенные привилегии.
CVE-2007-3504Уязвимость обхода каталогов в PersistenceService в Sun Java Web Start в JDK и JRE 5.0 Update 11 и более ранних версиях, а также Java Web Start в SDK и JRE 1.4.2_13 и более ранних версиях для Windows позволяет удаленным злоумышленникам выполнять несанкционированные действия через приложение, которое предоставляет себе привилегии перезаписи файлов. ПРИМЕЧАНИЕ: это можно использовать для выполнения произвольного кода, перезаписав файл .java.policy.
CVE-2006-6731Множественные переполнения буфера в Sun Java Development Kit (JDK) и Java Runtime Environment (JRE) 5.0 Update 7 и более ранних версиях, Java System Development Kit (SDK) и JRE 1.4.2_12 и более ранних 1.4.x версиях, а также SDK и JRE 1.3.1_18 и более ранних версиях позволяют злоумышленникам разрабатывать Java-апплеты, которые читают, записывают или выполняют локальные файлы, возможно, связанные с (1) целочисленными переполнениями в функциях Java_sun_awt_image_ImagingLib_convolveBI, awt_parseRaster и awt_parseColorModel; (2) переполнением стека в функции Java_sun_awt_image_ImagingLib_lookupByteRaster; и (3) неправильной обработкой определенных отрицательных значений в функции Java_sun_font_SunLayoutEngine_nativeLayout. ПРИМЕЧАНИЕ: некоторые из этих деталей получены из сторонней информации.
CVE-2008-5343Java Web Start (JWS) и Java Plug-in с Sun JDK и JRE 6 Update 10 и более ранних версиях; JDK и JRE 5.0 Update 16 и более ранних версиях; и SDK и JRE 1.4.2_18 и более ранних версиях позволяет удаленным злоумышленникам устанавливать неавторизованные сетевые подключения и перехватывать HTTP-сессии через специально созданный файл, который проходит проверку как GIF и Java JAR файл, также известная как "GIFAR" и CR 6707535.
CVE-2007-3698Java Secure Socket Extension (JSSE) в Sun JDK и JRE 6 Update 1 и более ранних версиях, JDK и JRE 5.0 Updates 7-11, а также SDK и JRE 1.4.2_11-1.4.2_14 при использовании JSSE для поддержки SSL/TLS позволяет удаленным злоумышленникам вызывать отказ в обслуживании (потребление ЦП) через определенные запросы подтверждения SSL/TLS.