阿里云漏洞库

漏洞描述

Oracle Java SE（组件：JSSE）的

Java SE, Java SE Embedded产品中的漏洞。受影响的受支持版本为Java SE：7u251、8u241、11.0.6和14；嵌入式Java SE：8u241。易于利用的漏洞允许未经身份验证的攻击者通过HTTPS进行网络访问，从而危害Java SE，嵌入式Java SE。对该漏洞的成功攻击可能导致未经授权的能力，导致Java SE，Java SE Embedded的部分拒绝服务（部分DOS）。注意：适用于Java的客户端和服务器部署。可以通过沙盒Java Web Start应用程序和沙盒Java applet利用此漏洞。也可以通过将数据提供给指定组件中的API来利用它，而无需使用沙盒Java Web Start应用程序或沙盒Java applet，例如通过Web服务。 CVSS 3.0基本分数5.3（可用性影响）。 CVSS矢量：(CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://www.oracle.com/security-alerts/cpuapr2020.html

参考链接
http://lists.opensuse.org/opensuse-security-announce/2020-06/msg00000.html
http://lists.opensuse.org/opensuse-security-announce/2020-06/msg00023.html
http://lists.opensuse.org/opensuse-security-announce/2020-06/msg00048.html
https://kc.mcafee.com/corporate/index?page=content&id=SB10318
https://lists.debian.org/debian-lts-announce/2020/04/msg00024.html
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedorapr...
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedorapr...
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedorapr...
https://security.gentoo.org/glsa/202006-22
https://security.gentoo.org/glsa/202209-15
https://security.netapp.com/advisory/ntap-20200416-0004/
https://usn.ubuntu.com/4337-1/
https://www.debian.org/security/2020/dsa-4662
https://www.debian.org/security/2020/dsa-4668
https://www.oracle.com/security-alerts/cpuapr2020.html

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	netapp	active_iq_unified_manager	*	From (including) 7.3
	运行在以下环境
	应用	netapp	active_iq_unified_manager	*	From (including) 9.5
	运行在以下环境
	应用	netapp	e-series_santricity_os_controller	*	From (including) 11.0.0	Up to (including) 11.60.1
	运行在以下环境
	应用	netapp	snapmanager	-	-
	运行在以下环境
	应用	netapp	storagegrid	*	From (including) 9.0.0	Up to (including) 9.0.4
	运行在以下环境
	应用	netapp	storagegrid	-	-
	运行在以下环境
	应用	oracle	jdk	1.7.0	-
	运行在以下环境
	应用	oracle	jdk	1.8.0	-
	运行在以下环境
	应用	oracle	jdk	11.0.6	-
	运行在以下环境
	应用	oracle	jdk	14.0.0	-
	运行在以下环境
	应用	oracle	jre	1.7.0	-
	运行在以下环境
	应用	oracle	jre	1.8.0	-
	运行在以下环境
	应用	oracle	jre	11.0.6	-
	运行在以下环境
	应用	oracle	jre	14.0.0	-
	运行在以下环境
	应用	oracle	openjdk	*	From (including) 11	Up to (including) 11.0.6
	运行在以下环境
	应用	oracle	openjdk	*	From (including) 13	Up to (including) 13.0.2
	运行在以下环境
	应用	oracle	openjdk	14	-
	运行在以下环境
	应用	oracle	openjdk	7	-
	运行在以下环境
	应用	oracle	openjdk	8	-
	运行在以下环境
	系统	redhat_6	java-1.7.0-openjdk	*		Up to (excluding) 1:1.7.0.261-2.6.22.1.el6_10
	运行在以下环境
	系统	redhat_6	java-1.8.0-openjdk	*		Up to (excluding) 1:1.8.0.252.b09-2.el6_10
	运行在以下环境
	系统	redhat_7	java-1.7.0-openjdk	*		Up to (excluding) 1:1.7.0.261-2.6.22.2.el7_8
	运行在以下环境
	系统	redhat_7	java-1.8.0-openjdk	*		Up to (excluding) 1:1.8.0.252.b09-2.el7_8
	运行在以下环境
	系统	redhat_7	java-11-openjdk	*		Up to (excluding) 1:11.0.7.10-4.el7_8
	运行在以下环境
	系统	suse_12	java-1_7_0-openjdk	*		Up to (excluding) 1.7.0.261-43.38
	运行在以下环境
	系统	ubuntu_14.04_lts	linux-aws	*		Up to (excluding) 4.4.0-1086.90
	运行在以下环境
	系统	ubuntu_16.04.7_lts	openjdk-8	*		Up to (excluding) 8u252-b09-1~16.04
	运行在以下环境
	系统	ubuntu_16.04_lts	ghostscript	*		Up to (excluding) 9.26~dfsg+0-0ubuntu0.16.04.14
	运行在以下环境
	系统	ubuntu_16.04_lts	linux	*		Up to (excluding) 4.4.0-203.235
	运行在以下环境
	系统	ubuntu_16.04_lts	openjdk-8	*		Up to (excluding) 8u252-b09-1~16.04
	运行在以下环境
	系统	ubuntu_18.04.5_lts	openjdk-8	*		Up to (excluding) 8u252-b09-1~18.04
	运行在以下环境
系统	ubuntu_18.04_lts	ghostscript	*		Up to (excluding) 9.26~dfsg+0-0ubuntu0.18.04.14
运行在以下环境
系统	ubuntu_18.04_lts	linux	*		Up to (excluding) 4.15.0-136.140
运行在以下环境
系统	ubuntu_18.04_lts	openjdk-8	*		Up to (excluding) 8u252-b09-1~18.04

攻击路径

远程
攻击复杂度

复杂
权限要求

无需权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

无影响
全网数量

100

CWE-ID	漏洞类型
NVD-CWE-noinfo

低危 Oracle Java SE 7u251/8u241/11.0.6/14 JSSE 拒绝服务漏洞

漏洞描述

解决建议

参考链接

受影响软件情况