阿里云漏洞库

漏洞描述

Oracle Java SE（组件：库）的Java SE, Java SE Embedded产品（组件：库）中的漏洞。受影响的受支持版本是Java SE：7u251、8u241、11.0.6和14；嵌入式Java SE：8u241。难以利用的漏洞使未经身份验证的攻击者可以通过多种协议访问网络，从而损害Java SE，嵌入式Java SE。成功的攻击需要攻击者以外的其他人员进行人为交互，并且，当漏洞在Java SE，Java SE Embedded中时，攻击可能会严重影响其他产品。成功攻击此漏洞可能导致Java SE，Java SE Embedded被接管。注意：此漏洞适用于Java部署，通常是在运行沙盒Java Web Start应用程序或沙盒Java小程序的客户端中进行的，这些客户端加载并运行不受信任的代码（例如，来自Internet的代码）并依靠Java沙盒来确保安全性。此漏洞不适用于通常仅在服务器中加载和运行受信任代码（例如，管理员安装的代码）的Java部署（通常在服务器中）。 CVSS 3.0基本分数8.3（机密性，完整性和可用性影响）。 CVSS矢量：(CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H)  ）。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
http://lists.opensuse.org/opensuse-security-announce/2020-06/msg00000.html
http://lists.opensuse.org/opensuse-security-announce/2020-06/msg00023.html
http://lists.opensuse.org/opensuse-security-announce/2020-06/msg00048.html
https://lists.debian.org/debian-lts-announce/2020/04/msg00024.html
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedorapr...
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedorapr...
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedorapr...
https://security.gentoo.org/glsa/202006-22
https://security.gentoo.org/glsa/202209-15
https://security.netapp.com/advisory/ntap-20200416-0004/
https://usn.ubuntu.com/4337-1/
https://www.debian.org/security/2020/dsa-4662
https://www.debian.org/security/2020/dsa-4668
https://www.oracle.com/security-alerts/cpuapr2020.html

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	netapp	active_iq_unified_manager	*	From (including) 7.3
	运行在以下环境
	应用	netapp	active_iq_unified_manager	*	From (including) 9.5
	运行在以下环境
	应用	netapp	e-series_santricity_os_controller	*	From (including) 11.0.0	Up to (including) 11.60.1
	运行在以下环境
	应用	netapp	snapmanager	-	-
	运行在以下环境
	应用	netapp	storagegrid	*	From (including) 9.0.0	Up to (including) 9.0.4
	运行在以下环境
	应用	netapp	storagegrid	-	-
	运行在以下环境
	应用	oracle	jdk	1.7.0	-
	运行在以下环境
	应用	oracle	jdk	1.8.0	-
	运行在以下环境
	应用	oracle	jdk	11.0.6	-
	运行在以下环境
	应用	oracle	jdk	14.0.0	-
	运行在以下环境
	应用	oracle	jre	1.7.0	-
	运行在以下环境
	应用	oracle	jre	1.8.0	-
	运行在以下环境
	应用	oracle	jre	11.0.6	-
	运行在以下环境
	应用	oracle	jre	14.0.0	-
	运行在以下环境
	应用	oracle	openjdk	*	From (including) 11	Up to (including) 11.0.6
	运行在以下环境
	应用	oracle	openjdk	*	From (including) 13	Up to (including) 13.0.2
	运行在以下环境
	应用	oracle	openjdk	14	-
	运行在以下环境
	应用	oracle	openjdk	7	-
	运行在以下环境
	应用	oracle	openjdk	8	-
	运行在以下环境
	系统	redhat_6	java-1.7.0-openjdk	*		Up to (excluding) 1:1.7.0.261-2.6.22.1.el6_10
	运行在以下环境
	系统	redhat_6	java-1.8.0-openjdk	*		Up to (excluding) 1:1.8.0.252.b09-2.el6_10
	运行在以下环境
	系统	redhat_7	java-1.7.0-openjdk	*		Up to (excluding) 1:1.7.0.261-2.6.22.2.el7_8
	运行在以下环境
	系统	redhat_7	java-1.8.0-openjdk	*		Up to (excluding) 1:1.8.0.252.b09-2.el7_8
	运行在以下环境
	系统	redhat_7	java-11-openjdk	*		Up to (excluding) 1:11.0.7.10-4.el7_8
	运行在以下环境
	系统	suse_12	java-1_7_0-openjdk	*		Up to (excluding) 1.7.0.261-43.38
	运行在以下环境
	系统	ubuntu_16.04.7_lts	openjdk-8	*		Up to (excluding) 8u252-b09-1~16.04
	运行在以下环境
	系统	ubuntu_16.04_lts	openjdk-8	*		Up to (excluding) 8u252-b09-1~16.04
	运行在以下环境
	系统	ubuntu_18.04.5_lts	openjdk-8	*		Up to (excluding) 8u252-b09-1~18.04
	运行在以下环境
	系统	ubuntu_18.04_lts	openjdk-8	*		Up to (excluding) 8u252-b09-1~18.04

攻击路径

远程
攻击复杂度

困难
权限要求

无需权限
影响范围

越权影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

无影响
全网数量

100

CWE-ID	漏洞类型
NVD-CWE-noinfo

中危 在MethodType.readObject()中不正确的类型检查(库，8235274)

漏洞描述

解决建议

参考链接

受影响软件情况

中危在MethodType.readObject()中不正确的类型检查(库，8235274)