低危 Java JRE任意代码执行漏洞

CVE编号

CVE-2012-4681

利用情况

POC 已公开

补丁情况

官方补丁

披露时间

2012-08-28
漏洞描述
Java Runtime Environment是一款为JAVA应用程序提供可靠的运行环境的解决方案。FireEye公司发布新Java 0day公告,目前0DAY已经对有限的目标进行攻击,根据测试安装了JRE version 1.7 update 6的系统(其他系统也可能)受此漏洞影响。攻击者可以构建恶意WEB页,诱使用户解析,可以应用程序上下文执行任意代码。漏洞利用了Gondzz.class和Gondvv.class进行攻击。目前根据Rapid测试,如下版本确认受此漏洞影响:Windows 7 SP1 with Java 7 Update 6Mozilla Firefox on Ubuntu Linux 10.04Internet Explorer / Mozilla Firefox / Chrome on Windows XPInternet Explorer / Mozilla Firefox on Windows VistaInternet Explorer / Mozilla Firefox on Windows 7Safari on OS X 10.7.4
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
http://blog.fireeye.com/research/2012/08/zero-day-season-is-not-over-yet.html
http://immunityproducts.blogspot.com/2012/08/java-0day-analysis-cve-2012-4681.html
http://labs.alienvault.com/labs/index.php/2012/new-java-0day-exploited-in-the-wild/
http://lists.opensuse.org/opensuse-security-announce/2012-09/msg00032.html
http://lists.opensuse.org/opensuse-security-announce/2012-10/msg00016.html
http://marc.info/?l=bugtraq&m=135109152819176&w=2
http://rhn.redhat.com/errata/RHSA-2012-1225.html
http://secunia.com/advisories/51044
http://www.deependresearch.org/2012/08/java-7-vulnerability-analysis.html
http://www.oracle.com/technetwork/topics/security/alert-cve-2012-4681-1835715.html
http://www.securityfocus.com/bid/55213
http://www.us-cert.gov/cas/techalerts/TA12-240A.html
https://community.rapid7.com/community/metasploit/blog/2012/08/27/lets-start-...
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 oracle jdk * Up to
(including)
1.4.2_38
运行在以下环境
应用 oracle jdk * Up to
(including)
1.5.0
运行在以下环境
应用 oracle jdk * Up to
(including)
1.6.0
运行在以下环境
应用 oracle jdk * Up to
(including)
1.7.0
运行在以下环境
应用 oracle jdk 1.6.0 -
运行在以下环境
应用 oracle jdk 1.7.0 -
运行在以下环境
应用 oracle jre * Up to
(including)
1.4.2_38
运行在以下环境
应用 oracle jre * Up to
(including)
1.5.0
运行在以下环境
应用 oracle jre * Up to
(including)
1.6.0
运行在以下环境
应用 oracle jre * Up to
(including)
1.7.0
运行在以下环境
应用 oracle jre 1.6.0 -
运行在以下环境
应用 oracle jre 1.7.0 -
运行在以下环境
应用 sun jdk 1.4.2 -
运行在以下环境
应用 sun jdk 1.4.2_1 -
运行在以下环境
应用 sun jdk 1.4.2_10 -
运行在以下环境
应用 sun jdk 1.4.2_11 -
运行在以下环境
应用 sun jdk 1.4.2_12 -
运行在以下环境
应用 sun jdk 1.4.2_13 -
运行在以下环境
应用 sun jdk 1.4.2_14 -
运行在以下环境
应用 sun jdk 1.4.2_15 -
运行在以下环境
应用 sun jdk 1.4.2_16 -
运行在以下环境
应用 sun jdk 1.4.2_17 -
运行在以下环境
应用 sun jdk 1.4.2_18 -
运行在以下环境
应用 sun jdk 1.4.2_19 -
运行在以下环境
应用 sun jdk 1.4.2_2 -
运行在以下环境
应用 sun jdk 1.4.2_22 -
运行在以下环境
应用 sun jdk 1.4.2_23 -
运行在以下环境
应用 sun jdk 1.4.2_25 -
运行在以下环境
应用 sun jdk 1.4.2_26 -
运行在以下环境
应用 sun jdk 1.4.2_27 -
运行在以下环境
应用 sun jdk 1.4.2_28 -
运行在以下环境
应用 sun jdk 1.4.2_29 -
运行在以下环境
应用 sun jdk 1.4.2_3 -
运行在以下环境
应用 sun jdk 1.4.2_30 -
运行在以下环境
应用 sun jdk 1.4.2_31 -
运行在以下环境
应用 sun jdk 1.4.2_32 -
运行在以下环境
应用 sun jdk 1.4.2_33 -
运行在以下环境
应用 sun jdk 1.4.2_34 -
运行在以下环境
应用 sun jdk 1.4.2_35 -
运行在以下环境
应用 sun jdk 1.4.2_36 -
运行在以下环境
应用 sun jdk 1.4.2_37 -
运行在以下环境
应用 sun jdk 1.4.2_4 -
运行在以下环境
应用 sun jdk 1.4.2_5 -
运行在以下环境
应用 sun jdk 1.4.2_6 -
运行在以下环境
应用 sun jdk 1.4.2_7 -
运行在以下环境
应用 sun jdk 1.4.2_8 -
运行在以下环境
应用 sun jdk 1.4.2_9 -
运行在以下环境
应用 sun jdk 1.5.0 -
运行在以下环境
应用 sun jdk 1.6.0 -
运行在以下环境
应用 sun jdk 1.6.0.200 -
运行在以下环境
应用 sun jdk 1.6.0.210 -
运行在以下环境
应用 sun jre 1.4.2_1 -
运行在以下环境
应用 sun jre 1.4.2_10 -
运行在以下环境
应用 sun jre 1.4.2_11 -
运行在以下环境
应用 sun jre 1.4.2_12 -
运行在以下环境
应用 sun jre 1.4.2_13 -
运行在以下环境
应用 sun jre 1.4.2_14 -
运行在以下环境
应用 sun jre 1.4.2_15 -
运行在以下环境
应用 sun jre 1.4.2_16 -
运行在以下环境
应用 sun jre 1.4.2_17 -
运行在以下环境
应用 sun jre 1.4.2_18 -
运行在以下环境
应用 sun jre 1.4.2_19 -
运行在以下环境
应用 sun jre 1.4.2_2 -
运行在以下环境
应用 sun jre 1.4.2_20 -
运行在以下环境
应用 sun jre 1.4.2_21 -
运行在以下环境
应用 sun jre 1.4.2_22 -
运行在以下环境
应用 sun jre 1.4.2_23 -
运行在以下环境
应用 sun jre 1.4.2_24 -
运行在以下环境
应用 sun jre 1.4.2_25 -
运行在以下环境
应用 sun jre 1.4.2_26 -
运行在以下环境
应用 sun jre 1.4.2_27 -
运行在以下环境
应用 sun jre 1.4.2_28 -
运行在以下环境
应用 sun jre 1.4.2_29 -
运行在以下环境
应用 sun jre 1.4.2_3 -
运行在以下环境
应用 sun jre 1.4.2_30 -
运行在以下环境
应用 sun jre 1.4.2_31 -
运行在以下环境
应用 sun jre 1.4.2_32 -
运行在以下环境
应用 sun jre 1.4.2_33 -
运行在以下环境
应用 sun jre 1.4.2_34 -
运行在以下环境
应用 sun jre 1.4.2_35 -
运行在以下环境
应用 sun jre 1.4.2_36 -
运行在以下环境
应用 sun jre 1.4.2_37 -
运行在以下环境
应用 sun jre 1.4.2_4 -
运行在以下环境
应用 sun jre 1.4.2_5 -
运行在以下环境
应用 sun jre 1.4.2_6 -
运行在以下环境
应用 sun jre 1.4.2_7 -
运行在以下环境
应用 sun jre 1.4.2_8 -
运行在以下环境
应用 sun jre 1.4.2_9 -
运行在以下环境
应用 sun jre 1.5.0 -
运行在以下环境
应用 sun jre 1.6.0 -
运行在以下环境
系统 centos_6 java-1.7.0-openjdk * Up to
(excluding)
1.7.0.5-2.2.1.el6_3.3
运行在以下环境
系统 opensuse_12.2 java-1_7_0-openjdk-demo-debuginfo * Up to
(excluding)
1.7.0.6-3.12.1
运行在以下环境
系统 oracle_6 oraclelinux-release * Up to
(excluding)
1.7.0.5-2.2.1.0.1.el6_3.3
运行在以下环境
系统 redhat_6 java-1.7.0-ibm-devel * Up to
(excluding)
1:1.7.0.2.0-1jpp.3.el6_3
运行在以下环境
系统 suse_11_SP2 java-1_7_0-ibm-alsa * Up to
(excluding)
1.7.0_sr6.0-0.7.1
运行在以下环境
系统 suse_12 java-1_7_0-openjdk * Up to
(excluding)
1.7.0.91-21
运行在以下环境
系统 ubuntu_12.04.5_lts openjdk-7 * Up to
(excluding)
7u7-2.3.2-1ubuntu0.12.04.1
阿里云评分
3.6
  • 攻击路径
    远程
  • 攻击复杂度
    容易
  • 权限要求
    无需权限
  • 影响范围
    有限影响
  • EXP成熟度
    POC 已公开
  • 补丁情况
    官方补丁
  • 数据保密性
    无影响
  • 数据完整性
    传输被破坏
  • 服务器危害
    无影响
  • 全网数量
    N/A
CWE-ID 漏洞类型
NVD-CWE-noinfo
阿里云安全产品覆盖情况