Vulnerabilidad en Múltiples vulnerabilidades en Java de Oracle (CVE-2013-0422)
Gravedad CVSS v2.0:
ALTA
Tipo:
CWE-264
Permisos, privilegios y/o control de acceso
Fecha de publicación:
10/01/2013
Última modificación:
26/04/2024
Descripción
Múltiples vulnerabilidades en Java de Oracle versión 7 anterior a Update 11, permiten a los atacantes remotos ejecutar código arbitrario mediante (1) utilizando el método público getMBeanInstantiator en la clase JmxMBeanServer para obtener una referencia a un objeto MBeanInstantiator privado, a continuación, recuperar referencias arbitrarias Class mediante el método findClass y (2) mediante la API Reflection con recursión de una manera que omita una comprobación de seguridad mediante el método java.lang.invoke.MethodHandles.Lookup.checkSecurityManager debido a la incapacidad del método sun.reflect.Reflection.getCallerClass para omitir marcos relacionados con la nueva API reflection, como se explotó “in the wild” en Enero de 2013, como es demostrado por Blackhole y Nuclear Pack, y una vulnerabilidad diferente de CVE-2012-4681 y CVE-2012-3174. NOTA: algunas partes han mapeado el problema recursivo de la API Reflection al CVE-2012-3174, pero el CVE-2012-3174 es para una vulnerabilidad diferente cuyos detalles no son públicos a partir de 20130114. El CVE-2013-0422 cubre los problemas de JMX/MBean y API Reflection. NOTA: originalmente se informó que Java versión 6 también era vulnerable, pero el reportero se ha retractado de esta afirmación, declarando que Java versión 6 no es explotable porque el código relevante se llama de una manera que no omita las comprobaciones de seguridad. NOTA: a partir de 20130114, un tercero confiable ha afirmado que el vector findClass/MBeanInstantiator no se corrigió en Java de Oracle versión 7 Update 11. Si todavía hay una condición vulnerable, se podría crear un identificador CVE independiente para el problema no corregido.
Impacto
Puntuación base 2.0
10.00
Gravedad 2.0
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:oracle:jdk:1.7.0:-:*:*:*:*:*:* | ||
cpe:2.3:a:oracle:jdk:1.7.0:update1:*:*:*:*:*:* | ||
cpe:2.3:a:oracle:jdk:1.7.0:update10:*:*:*:*:*:* | ||
cpe:2.3:a:oracle:jdk:1.7.0:update2:*:*:*:*:*:* | ||
cpe:2.3:a:oracle:jdk:1.7.0:update3:*:*:*:*:*:* | ||
cpe:2.3:a:oracle:jdk:1.7.0:update4:*:*:*:*:*:* | ||
cpe:2.3:a:oracle:jdk:1.7.0:update5:*:*:*:*:*:* | ||
cpe:2.3:a:oracle:jdk:1.7.0:update6:*:*:*:*:*:* | ||
cpe:2.3:a:oracle:jdk:1.7.0:update7:*:*:*:*:*:* | ||
cpe:2.3:a:oracle:jdk:1.7.0:update9:*:*:*:*:*:* | ||
cpe:2.3:a:oracle:jre:1.7.0:-:*:*:*:*:*:* | ||
cpe:2.3:a:oracle:jre:1.7.0:update1:*:*:*:*:*:* | ||
cpe:2.3:a:oracle:jre:1.7.0:update10:*:*:*:*:*:* | ||
cpe:2.3:a:oracle:jre:1.7.0:update2:*:*:*:*:*:* | ||
cpe:2.3:a:oracle:jre:1.7.0:update3:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://blog.fireeye.com/research/2013/01/happy-new-year-from-new-java-zero-day.html
- http://blog.fuseyism.com/index.php/2013/01/15/security-icedtea-2-1-4-2-2-4-2-3-4-released/
- http://immunityproducts.blogspot.ca/2013/01/confirmed-java-only-fixed-one-of-two.html
- http://krebsonsecurity.com/2013/01/zero-day-java-exploit-debuts-in-crimeware/
- http://labs.alienvault.com/labs/index.php/2013/new-year-new-java-zeroday/
- http://lists.opensuse.org/opensuse-security-announce/2013-01/msg00025.html
- http://malware.dontneedcoffee.com/2013/01/0-day-17u10-spotted-in-while-disable.html
- http://rhn.redhat.com/errata/RHSA-2013-0156.html
- http://rhn.redhat.com/errata/RHSA-2013-0165.html
- http://seclists.org/bugtraq/2013/Jan/48
- http://www.kb.cert.org/vuls/id/625617
- http://www.mandriva.com/security/advisories?name=MDVSA-2013%3A095
- http://www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html
- http://www.ubuntu.com/usn/USN-1693-1
- http://www.us-cert.gov/cas/techalerts/TA13-010A.html
- https://partners.immunityinc.com/idocs/Java%20MBeanInstantiator.findClass%200day%20Analysis.pdf
- https://threatpost.com/en_us/blogs/nasty-new-java-zero-day-found-exploit-kits-already-have-it-011013
- https://wiki.mageia.org/en/Support/Advisories/MGASA-2013-0018
- https://www-304.ibm.com/connections/blogs/PSIRT/entry/oracle_java_7_security_manager_bypass_vulnerability_cve_2013_04224?lang=en_us