Java高危漏洞被再度利用 可攻击最新版本服务器
2019独角兽企业重金招聘Python工程师标准>>> 
安全研究人员警告称,甲骨文在2013年发布的一个关键 Java 漏洞更新是无效的,黑客可以轻松绕过。这使得此Java高危漏洞可以被再度利用,击运行最新版本 Java 的个人计算机及服务器。甲骨文在通用漏洞评分系统上给其打出过 9.3/10 的高分。
该漏洞在通用漏洞及披露数据库中的代码为 CVE-2013-5838 ,漏洞可被远程利用,不需要授权验证即可完全入侵系统,损害其机密性、完整性、可用性。详情:http://seclists.org/fulldisclosure/2016/Mar/31
波兰公司 Security Explorations 的研究人员最早向甲骨文上报了该漏洞。他们表示,攻击者可以利用它从 Java 安全沙盒中逃逸。通常情况下,Java运行时间环境(JRE)在虚拟机中运行 Java 代码。
Security Explorations 公司首席执行官亚当·高迪亚克(Adam Gowdiak)在发给 Full Disclousure 安全邮件列表的信中称,仅仅更改2013年概念验证攻击代码中的四个字符,就可以绕过该补丁。高迪亚克的公司已经就这种攻击方式发表了一篇新的技术报告,并表示他们已经在最新版本的 Java SE 7 Update 97 、 Java SE 8 Update 74 、 Java SE 9 Early Access Build 108 上测试了这种新的利用方法。
甲骨文在2013年10月最初公布的公告中称 CVE-2013-5838 仅影响 Java 的客户端,可以通过“Java Web Start 应用沙盒和 Java 小程序沙盒”进行利用。但Security Explorations 公司表示,这种说法是错误的。
高迪亚克在发给 Full Disclosure 的信中提到,“经过验证,我们发现该漏洞还可被用于入侵服务器环境和 Java 下的 Google App Engine。”
在客户端,Java 的默认安全级别,仅允许有签名的 Java 小程序运行,而且它的点击后播放还可以作为防御手段。这些安全限制可以防止自动化的静默攻击。
如果攻击者想在最新的 Java 实例上利用这一漏洞,他们需要找到另外一个可帮助绕过安全提示的漏洞,或者说服用户在运行恶意 Java 小程序时点击允许。他们更有可能采取后一种策略。
在公开披露之前,Security Explorations 公司还未就 CVE-2013-5838 的这一最新问题通知甲骨文。高迪亚克表示,他公司的新政策是,对于已经上报给厂商的漏洞补丁,如果有问题会立即公告大众。
目前尚不清楚甲骨文是否会对这一漏洞发布紧急 Java 更新,还是会与预计于4月19日发布的第二季度关键漏洞更新一同发布。
转载于:https://my.oschina.net/safedog/blog/638687
Java高危漏洞被再度利用 可攻击最新版本服务器相关推荐
- JAVA反序列漏洞原理及利用工具
Java反序列化漏洞原理 序列化就是把对象转换成字节流,便于保存在内存.文件.数据库中:反序列化即逆过程,由字节流还原成对象. Java中的ObjectOutputStream类的writeObjec ...
- 【组件攻击链】XStream组件高危漏洞分析与利用
组件介绍 XStream是Java类库,用来将对象序列化成XML(JSON)或反序列化为对象.XStream在运行时使用Java反射机制对要进行序列化的对象树的结构进行探索,并不需要对对象作出修改.X ...
- Python与Java曝漏洞,黑客利用FTP注入攻击可绕过防火墙
研究人员最近发现,Java和Python运行时都存在漏洞,它们未能正确验证FTP URL中的特殊字符,最终导致黑客甚至能够绕过防火墙访问本地网络. 上周六,安全研究员Alexander Klink公布 ...
- thinkphp漏洞_【组件攻击链】ThinkCMF 高危漏洞分析与利用
一.组件介绍 1.1 基本信息 ThinkCMF是一款基于PHP+MYSQL开发的中文内容管理框架.ThinkCMF提出灵活的应用机制,框架自身提供基础的管理功能,而开发者可以根据自身的需求以应用的形 ...
- 域控服务器排查命令,mimikatz利用zerologon攻击域控服务器相关命令(附蓝队自查方案)...
0x01 前言 mimikatz 20200918版本支持通过zerologon漏洞攻击域控服务器.下载链接如下https://github.com/gentilkiwi/mimikatz/relea ...
- 警惕新型“二进制植入”漏洞,立即更新至 Npm 最新版本
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 最大的JavaScript 库数据包管理器 npm 的幕后团队发布安全警告,建议所有用户更新至最新版本 (6.13.4) 以阻止&qu ...
- 利用TortoiseSVN获取最新版本的OpenCV源码
转自: http://blog.csdn.net/vsooda/article/details/7555969 1.下载安装TortoiseSVN:http://tortoisesvn.net/dow ...
- [ubuntu]ubuntu18.04利用wine安装最新版本的微信
# 具体内容请查看官方页面 sudo dpkg --add-architecture i386 wget -qO- https://dl.winehq.org/wine-builds/Release. ...
- 深入理解JNDI注入与Java反序列化漏洞利用
rmi 和 jndi 这些概念,一直接触,但是看了会儿 还是略微懵逼,这篇文章 暂时理清了我的思路 [承上启下]----------------------------------上边属于我自己瞎扯的 ...
最新文章
- 企业云桌面-07-安装虚拟机-001-Win701
- Lucid Sight宣布即将推出“VR云霄飞车之星际之旅”
- 中国台湾芯片设计商 Realtek 的WiFi SDK漏洞影响数百万IOT设备
- SSH初体验系列--Hibernate--1--环境配置及demo
- [bzoj3676]回文串[后缀数组+Manacher]
- 移动端 html5领奖页面,HTML5移动端交互
- 吴恩达机器学习训练2:Logistic回归
- JavaScript内存泄漏的几种情况
- ActiveMQ安装配置
- 欧盟网络安全局发布《供应链攻击威胁全景图》报告(下)
- 如何设置访问共享弹出窗口
- 统计面要素中点要素的个数.
- java写入excel乱码_Java导出Excel解决乱码及导出文件打开不可读需修复的问题
- GNS3(1.下载与安装)
- python文本处理的几个库_6个高效的语言处理Python库,你用过几个?
- oracle查询同一天生日的,关于date生日判断的问题
- Photoshop透明度网格颜色设置方法
- 百练2706 麦森数
- 彻底理解原型对象与原型链机制
- 腾讯云API接口鉴权v3 鉴权失败问题 AuthFailure.SignatureFailure