Vulnerabilidad en Java SE en Oracle Java SE (CVE-2018-2638)
Severidad:
ALTA
Type:
No Disponible / Otro tipo
Fecha de publicación:
18/01/2018
Última modificación:
21/11/2023
Descripción
Vulnerabilidad en el componente Java SE de Oracle Java SE (subcomponente: Deployment). Las versiones compatibles que se han visto afectadas son JavaSE: 8u152 y 9.0.1. Una vulnerabilidad difícilmente explotable permite que un atacante sin autenticar que tenga acceso a red por múltiples protocolos comprometa la seguridad de Java SE. Para que los ataques tengan éxito, se necesita la participación de otra persona diferente del atacante y, aunque la vulnerabilidad está presente en Java SE, los ataques podrían afectar seriamente a productos adicionales. Los ataques exitosos a esta vulnerabilidad pueden resultar en la toma de control de Java SE. Nota: Esta vulnerabilidad se aplica a implementaciones Java, normalmente en clientes que ejecutan aplicaciones Java Web Start en sandbox o applets Java en sandbox que cargan y ejecutan código que no es de confianza (por ejemplo, código proveniente de internet) y que confían en la sandbox de aislado Java para protegerse. Esta vulnerabilidad no se aplica a implementaciones Java, normalmente en servidores, que solo cargan y ejecutan código de confianza (por ejemplo, código instalado por un administrador). CVSS 3.0 Base Score 8.3 (impactos en la confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H).
Impacto
Puntuación base 3.x
8.30
Severidad 3.x
ALTA
Puntuación base 2.0
5.10
Severidad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:oracle:jdk:1.8.0:update152:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:jdk:9.0.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:jre:1.8.0:update152:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:jre:9.0.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:redhat:satellite:5.8:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux_desktop:6.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux_desktop:7.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux_eus:7.5:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux_server:6.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux_server:7.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux_workstation:6.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux_workstation:7.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:netapp:active_iq_unified_manager:*:*:*:*:*:windows:*:* | 7.3 (incluyendo) | |
| cpe:2.3:a:netapp:active_iq_unified_manager:*:*:*:*:*:vmware_vsphere:*:* | 9.5 (incluyendo) | |
| cpe:2.3:a:netapp:cloud_backup:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html
- http://www.securityfocus.com/bid/102546
- http://www.securitytracker.com/id/1040203
- https://access.redhat.com/errata/RHSA-2018:0099
- https://access.redhat.com/errata/RHSA-2018:0351
- https://access.redhat.com/errata/RHSA-2018:0352
- https://access.redhat.com/errata/RHSA-2018:1463
- https://help.ecostruxureit.com/display/public/UADCE725/Security+fixes+in+StruxureWare+Data+Center+Expert+v7.6.0
- https://security.netapp.com/advisory/ntap-20180117-0001/