Vulnerabilidad en Java SE, componente Java SE Embedded de Oracle Java SE (CVE-2016-5548)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
27/01/2017
Última modificación:
05/01/2018
Descripción
Vulnerabilidad en Java SE, componente Java SE Embedded de Oracle Java SE (subcomponente: Libraries). Versiones compatibles que están afectadas son: Java SE: 6u131, 7u121 y 8u112; Java SE Embedded: 8u111. Vulnerabilidad fácilmente explotable permite a atacante no autenticado con acceso a la red a través de múltiples protocolos, comprometer Java SE, Java SE Embedded. Ataques exitosos requieren interacción humana de una persona distinta del atacante. Ataques exitosos de esta vulnerabilidad pueden resultar en acceso no autorizado a datos críticos o el acceso completo a todos los datos accesibles de Java SE, Java SE Embedded. Nota: Esta vulnerabilidad aplica a implementaciones Java, normalmente en clientes que ejecutan aplicaciones Java Web Start o applets Java aisladas, que cargan y ejecutan código no confiable (ej: código procedente de Internet) y depende del aislamiento de seguridad de Java. Esta vulnerabilidad no se aplica a implementaciones de Java, normalmente en servidores, que cargan y ejecutan sólo código de confianza (ej: código instalado por un administrador). CVSS v3.0 Base Score 6.5 (Impactos de Confidencialidad).
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:oracle:jdk:1.6:update_131:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:jdk:1.7:update_121:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:jdk:1.8:update_111:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:jdk:1.8:update_112:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:jre:1.6:update_131:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:jre:1.7:update_121:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:jre:1.8:update_111:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:jre:1.8:update_112:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://rhn.redhat.com/errata/RHSA-2017-0175.html
- http://rhn.redhat.com/errata/RHSA-2017-0176.html
- http://rhn.redhat.com/errata/RHSA-2017-0177.html
- http://rhn.redhat.com/errata/RHSA-2017-0180.html
- http://rhn.redhat.com/errata/RHSA-2017-0263.html
- http://rhn.redhat.com/errata/RHSA-2017-0269.html
- http://rhn.redhat.com/errata/RHSA-2017-0336.html
- http://rhn.redhat.com/errata/RHSA-2017-0337.html
- http://rhn.redhat.com/errata/RHSA-2017-0338.html
- http://www.debian.org/security/2017/dsa-3782
- http://www.oracle.com/technetwork/security-advisory/cpujan2017-2881727.html
- http://www.securityfocus.com/bid/95559
- http://www.securitytracker.com/id/1037637
- https://access.redhat.com/errata/RHSA-2017:1216
- https://security.gentoo.org/glsa/201701-65
- https://security.gentoo.org/glsa/201707-01
- https://security.netapp.com/advisory/ntap-20170119-0001/