← Back to branch summary

~ubuntu-security/ubuntu-cve-tracker/master

« back to all changes in this revision

Viewing changes to active/CVE-2017-3526

  • Committer: Steve Beattie
  • Date: 2019-02-19 06:18:27 UTC
  • Revision ID: sbeattie@ubuntu.com-20190219061827-oh57fzcfc1u9dlfk
The ubuntu-cve-tracker project has been converted to git.

Please use 'git clone https://git.launchpad.net/ubuntu-cve-tracker' to
get the converted tree.

Show diffs side-by-side

added added

removed removed

Lines of Context:
active/CVE-2017-3526
1
 
PublicDateAtUSN: 2017-04-24
2
 
Candidate: CVE-2017-3526
3
 
PublicDate: 2017-04-24
4
 
References:
5
 
 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3526
6
 
 http://www.oracle.com/technetwork/security-advisory/cpuapr2017-3236618.html
7
 
 https://usn.ubuntu.com/usn/usn-3275-1
8
 
 https://usn.ubuntu.com/usn/usn-3275-2
9
 
Description:
10
 
 Vulnerability in the Java SE, Java SE Embedded, JRockit component of Oracle
11
 
 Java SE (subcomponent: JAXP). Supported versions that are affected are Java
12
 
 SE: 6u141, 7u131 and 8u121; Java SE Embedded: 8u121; JRockit: R28.3.13.
13
 
 Difficult to exploit vulnerability allows unauthenticated attacker with
14
 
 network access via multiple protocols to compromise Java SE, Java SE
15
 
 Embedded, JRockit. Successful attacks of this vulnerability can result in
16
 
 unauthorized ability to cause a hang or frequently repeatable crash
17
 
 (complete DOS) of Java SE, Java SE Embedded, JRockit. Note: Applies to
18
 
 client and server deployment of Java. This vulnerability can be exploited
19
 
 through sandboxed Java Web Start applications and sandboxed Java applets.
20
 
 It can also be exploited by supplying data to APIs in the specified
21
 
 Component without using sandboxed Java Web Start applications or sandboxed
22
 
 Java applets, such as through a web service. CVSS 3.0 Base Score 5.9
23
 
 (Availability impacts). CVSS Vector:
24
 
 (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H).
25
 
Ubuntu-Description:
26
 
 It was discovered that the Java API for XML Processing (JAXP)
27
 
 component in OpenJDK did not properly enforce size limits when parsing
28
 
 XML documents. An attacker could use this to cause a denial of service
29
 
 (processor and memory consumption).
30
 
Notes:
31
 
Bugs:
32
 
Priority: medium
33
 
Discovered-by:
34
 
Assigned-to:
35
 
 
36
 
Patches_openjdk-7:
37
 
upstream_openjdk-7: needs-triage
38
 
precise_openjdk-7: ignored (reached end-of-life)
39
 
precise/esm_openjdk-7: DNE (precise was needs-triage)
40
 
trusty_openjdk-7: released (7u131-2.6.9-0ubuntu0.14.04.1)
41
 
vivid/stable-phone-overlay_openjdk-7: DNE
42
 
vivid/ubuntu-core_openjdk-7: DNE
43
 
xenial_openjdk-7: DNE
44
 
yakkety_openjdk-7: DNE
45
 
zesty_openjdk-7: DNE
46
 
artful_openjdk-7: DNE
47
 
bionic_openjdk-7: DNE
48
 
devel_openjdk-7: DNE
49
 
 
50
 
Patches_openjdk-6:
51
 
upstream_openjdk-6: needs-triage
52
 
precise_openjdk-6: ignored (reached end-of-life)
53
 
precise/esm_openjdk-6: DNE (precise was needs-triage)
54
 
trusty_openjdk-6: needs-triage
55
 
vivid/stable-phone-overlay_openjdk-6: DNE
56
 
vivid/ubuntu-core_openjdk-6: DNE
57
 
xenial_openjdk-6: DNE
58
 
yakkety_openjdk-6: DNE
59
 
zesty_openjdk-6: DNE
60
 
artful_openjdk-6: DNE
61
 
bionic_openjdk-6: DNE
62
 
devel_openjdk-6: DNE
63
 
 
64
 
Patches_openjdk-8:
65
 
upstream_openjdk-8: needs-triage
66
 
precise_openjdk-8: DNE
67
 
precise/esm_openjdk-8: DNE
68
 
trusty_openjdk-8: DNE
69
 
vivid/stable-phone-overlay_openjdk-8: DNE
70
 
vivid/ubuntu-core_openjdk-8: DNE
71
 
xenial_openjdk-8: released (8u131-b11-0ubuntu1.16.04.2)
72
 
yakkety_openjdk-8: released (8u131-b11-0ubuntu1.16.10.2)
73
 
zesty_openjdk-8: released (8u131-b11-0ubuntu1.17.04.1)
74
 
artful_openjdk-8: not-affected (8u131-b11-1)
75
 
bionic_openjdk-8: not-affected (8u131-b11-1)
76
 
devel_openjdk-8: not-affected (8u131-b11-1)