🕵️ Oracle Java SE 6u131/7u121/8u112 JAAS unbekannte Schwachstelle
Nachrichtenbereich: 🕵️ Sicherheitslücken
🔗 Quelle: vuldb.com
Eine Schwachstelle wurde in Oracle Java SE 6u131/7u121/8u112 ausgemacht. Sie wurde als kritisch eingestuft. Dies betrifft eine unbekannte Funktion der Komponente JAAS. Auswirken tut sich dies auf die Integrität.
Die Schwachstelle wurde am 19.01.2017 als Oracle Critical Patch Update Advisory - January 2017 in Form eines bestätigten Advisories (Website) herausgegeben. Auf oracle.com kann das Advisory eingesehen werden. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2017-3252 gehandelt. Die Ausnutzbarkeit gilt als schwierig. Umgesetzt werden kann der Angriff über das Netzwerk. Das Ausnutzen erfordert eine einfache Authentisierung. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden. Die Beschaffenheit der Schwachstelle lässt vermuten, dass ein Exploit momentan zu etwa USD $5k-$25k gehandelt werden wird (Preisberechnung vom 01/19/2017).
Ein Aktualisieren vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Oracle hat demzufolge sofort gehandelt.
Von weiterem Interesse können die folgenden Einträge sein: 95550, 95551, 95552 und 95553.
CVSSv3
Base Score: 5.8Temp Score: 5.6
Vector: CVSS:3.0/AV:N/AC:H/PR:L/UI:R/S:C/C:N/I:H/A:N/E:X/RL:O/RC:C
Zuverlässigkeit: High
CVSSv2
Base Score: 4.9 (CVSS2#AV:N/AC:H/Au:S/C:N/I:C/A:N)Temp Score: 4.3 (CVSS2#E:ND/RL:OF/RC:C)
Zuverlässigkeit: High
CPE
Exploiting
Lokal: NeinRemote: Ja
Verfügbarkeit: Nein
Preisentwicklung: gleichbleibend
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)
Gegenmassnahmen
Empfehlung: UpgradeStatus: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt
Timeline
19.01.2017 Advisory veröffentlicht19.01.2017 Gegenmassnahme veröffentlicht
19.01.2017 VulDB Eintrag erstellt
19.01.2017 VulDB letzte Aktualisierung
Quellen
Advisory: Oracle Critical Patch Update Advisory - January 2017Status: Bestätigt
CVE: CVE-2017-3252 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 95550, 95551, 95552, 95553, 95554, 95555, 95556, 95557, 95558, 95559, 95560, 95561, 95562, 95563
Eintrag
Erstellt: 19.01.2017Eintrag: 75.6% komplett
...