Vulnerability CVE-2008-5355 - CERT Civis.Net

Vulnerability Name:

CVE-2008-5355 (CCN-47051)

Assigned:

2008-12-03

Published:

2008-12-03

Updated:

2017-09-29

Summary:

The "Java Update" feature for Java Runtime Environment (JRE) for Sun JDK and JRE 6 Update 10 and earlier; JDK and JRE 5.0 Update 16 and earlier; and SDK and JRE 1.4.2_18 and earlier does not verify the signature of the JRE that is downloaded, which allows remote attackers to execute arbitrary code via DNS man-in-the-middle attacks.

CVSS v3 Severity:

9.0 Critical (CCN CVSS v3.1 Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H)

Exploitability Metrics:	Attack Vector (AV): Network Attack Complexity (AC): High Privileges Required (PR): None User Interaction (UI): None
Scope:	Scope (S): Changed
Impact Metrics:	Confidentiality (C): High Integrity (I): High Availibility (A): High

CVSS v2 Severity:

10.0 High (CVSS v2 Vector: AV:N/AC:L/Au:N/C:C/I:C/A:C)
7.4 High (Temporal CVSS v2 Vector: AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C)

Exploitability Metrics:	Access Vector (AV): Network Access Complexity (AC): Low Authentication (Au): None
Impact Metrics:	Confidentiality (C): Complete Integrity (I): Complete Availibility (A): Complete

7.6 High (CCN CVSS v2 Vector: AV:N/AC:H/Au:N/C:C/I:C/A:C)
5.6 Medium (CCN Temporal CVSS v2 Vector: AV:N/AC:H/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C)

Exploitability Metrics:	Access Vector (AV): Network Access Complexity (AC): High Athentication (Au): None
Impact Metrics:	Confidentiality (C): Complete Integrity (I): Complete Availibility (A): Complete

Vulnerability Type:

Vulnerability Consequences:

Bypass Security

References:

Source: CCN
Type: infobyte
Pwning Java update process 2007-Today

Source: MITRE
Type: CNA
CVE-2008-5355

Source: OSVDB
Type: UNKNOWN
50498

Source: CCN
Type: SA32991
Sun Java JDK / JRE Multiple Vulnerabilities

Source: SECUNIA
Type: UNKNOWN
37386

Source: CCN
Type: SA47134
Oracle Java Software Update Spoofing Vulnerability

Source: GENTOO
Type: UNKNOWN
GLSA-200911-02

Source: CCN
Type: SECTRACK ID: 1021315
Sun Java Runtime Environment Java Update Fails to Validate Digital Signatures

Source: SUNALERT
Type: Patch, Vendor Advisory
244989

Source: CCN
Type: Sun Alert ID: 244989
The Java Runtime Environment (JRE) "Java Update" Mechanism Does Not Check the Digital Signature of the JRE that it Downloads

Source: CCN
Type: ASA-2008-471
The Java Runtime Environment (JRE) "Java Update" Mechanism Does Not Check the Digital Signature of the JRE that it Downloads (Sun 244989)

Source: CCN
Type: NORTEL BULLETIN ID: 2009009294, Rev 1
Nortel: Technical Support: Nortel Response to Sun Java Runtime Environment and Java Development Kit Multiple Security Vulnerabilities

Source: CONFIRM
Type: UNKNOWN
http://support.nortel.com/go/main.jsp?cscat=BLTNDETAIL&DocumentOID=829914&poid=

Source: CCN
Type: OSVDB ID: 50498
Sun Java JDK / JRE Java Update Mechanism Digital Signature Verification Weakness

Source: CCN
Type: BID-32608
Sun Java Runtime Environment and Java Development Kit Multiple Security Vulnerabilities

Source: CCN
Type: BID-50986
Oracle Sun Java Runtime Environment 'Java Update' Security Bypass Vulnerability

Source: SECTRACK
Type: UNKNOWN
1021315

Source: CERT
Type: US Government Resource
TA08-340A

Source: VUPEN
Type: UNKNOWN
ADV-2008-3339

Source: CONFIRM
Type: UNKNOWN
http://www116.nortel.com/pub/repository/CLARIFY/DOCUMENT/2009/03/024431-01.pdf

Source: XF
Type: UNKNOWN
jre-javaupdate-security-bypass(47051)

Source: OVAL
Type: UNKNOWN
oval:org.mitre.oval:def:5664

Source: SUSE
Type: SUSE-SA:2009:001
Sun Java security problems

Vulnerable Configuration:

Configuration 1:

cpe:/a:sun:jdk:5.0:update_1:*:*:*:*:*:*

OR cpe:/a:sun:jdk:5.0:update_10:*:*:*:*:*:*

OR cpe:/a:sun:jdk:5.0:update_11:*:*:*:*:*:*

OR cpe:/a:sun:jdk:5.0:update_12:*:*:*:*:*:*

OR cpe:/a:sun:jdk:5.0:update_13:*:*:*:*:*:*

OR cpe:/a:sun:jdk:5.0:update_14:*:*:*:*:*:*

OR cpe:/a:sun:jdk:5.0:update_15:*:*:*:*:*:*

OR cpe:/a:sun:jdk:*:update_16:*:*:*:*:*:* (Version <= 5.0)

OR cpe:/a:sun:jdk:5.0:update_2:*:*:*:*:*:*

OR cpe:/a:sun:jdk:5.0:update_3:*:*:*:*:*:*

OR cpe:/a:sun:jdk:5.0:update_4:*:*:*:*:*:*

OR cpe:/a:sun:jdk:5.0:update_5:*:*:*:*:*:*

OR cpe:/a:sun:jdk:5.0:update_6:*:*:*:*:*:*

OR cpe:/a:sun:jdk:5.0:update_7:*:*:*:*:*:*

OR cpe:/a:sun:jdk:5.0:update_8:*:*:*:*:*:*

OR cpe:/a:sun:jdk:5.0:update_9:*:*:*:*:*:*

OR cpe:/a:sun:jdk:6:*:*:*:*:*:*:*

OR cpe:/a:sun:jdk:6:update_1:*:*:*:*:*:*

OR cpe:/a:sun:jdk:*:update_10:*:*:*:*:*:* (Version <= 6)

OR cpe:/a:sun:jdk:6:update_2:*:*:*:*:*:*

OR cpe:/a:sun:jdk:6:update_3:*:*:*:*:*:*

OR cpe:/a:sun:jdk:6:update_4:*:*:*:*:*:*

OR cpe:/a:sun:jdk:6:update_5:*:*:*:*:*:*

OR cpe:/a:sun:jdk:6:update_6:*:*:*:*:*:*

OR cpe:/a:sun:jdk:6:update_7:*:*:*:*:*:*

OR cpe:/a:sun:jdk:6:update_8:*:*:*:*:*:*

OR cpe:/a:sun:jdk:6:update_9:*:*:*:*:*:*

OR cpe:/a:sun:jre:1.4.2_1:*:*:*:*:*:*:*

OR cpe:/a:sun:jre:1.4.2_2:*:*:*:*:*:*:*

OR cpe:/a:sun:jre:1.4.2_3:*:*:*:*:*:*:*

OR cpe:/a:sun:jre:1.4.2_4:*:*:*:*:*:*:*

OR cpe:/a:sun:jre:1.4.2_5:*:*:*:*:*:*:*

OR cpe:/a:sun:jre:1.4.2_6:*:*:*:*:*:*:*

OR cpe:/a:sun:jre:1.4.2_7:*:*:*:*:*:*:*

OR cpe:/a:sun:jre:1.4.2_8:*:*:*:*:*:*:*

OR cpe:/a:sun:jre:1.4.2_9:*:*:*:*:*:*:*

OR cpe:/a:sun:jre:1.4.2_10:*:*:*:*:*:*:*

OR cpe:/a:sun:jre:1.4.2_11:*:*:*:*:*:*:*

OR cpe:/a:sun:jre:1.4.2_12:*:*:*:*:*:*:*

OR cpe:/a:sun:jre:1.4.2_13:*:*:*:*:*:*:*

OR cpe:/a:sun:jre:1.4.2_14:*:*:*:*:*:*:*

OR cpe:/a:sun:jre:1.4.2_15:*:*:*:*:*:*:*

OR cpe:/a:sun:jre:1.4.2_16:*:*:*:*:*:*:*

OR cpe:/a:sun:jre:1.4.2_17:*:*:*:*:*:*:*

OR cpe:/a:sun:jre:*:*:*:*:*:*:*:* (Version <= 1.4.2_18)

OR cpe:/a:sun:jre:5.0:*:*:*:*:*:*:*

OR cpe:/a:sun:jre:5.0:update_1:*:*:*:*:*:*

OR cpe:/a:sun:jre:5.0:update_10:*:*:*:*:*:*

OR cpe:/a:sun:jre:5.0:update_11:*:*:*:*:*:*

OR cpe:/a:sun:jre:5.0:update_12:*:*:*:*:*:*

OR cpe:/a:sun:jre:5.0:update_13:*:*:*:*:*:*

OR cpe:/a:sun:jre:5.0:update_14:*:*:*:*:*:*

OR cpe:/a:sun:jre:5.0:update_15:*:*:*:*:*:*

OR cpe:/a:sun:jre:*:update_16:*:*:*:*:*:* (Version <= 5.0)

OR cpe:/a:sun:jre:5.0:update_2:*:*:*:*:*:*

OR cpe:/a:sun:jre:5.0:update_3:*:*:*:*:*:*

OR cpe:/a:sun:jre:5.0:update_4:*:*:*:*:*:*

OR cpe:/a:sun:jre:5.0:update_5:*:*:*:*:*:*

OR cpe:/a:sun:jre:5.0:update_6:*:*:*:*:*:*

OR cpe:/a:sun:jre:5.0:update_7:*:*:*:*:*:*

OR cpe:/a:sun:jre:5.0:update_8:*:*:*:*:*:*

OR cpe:/a:sun:jre:5.0:update_9:*:*:*:*:*:*

OR cpe:/a:sun:jre:6:*:*:*:*:*:*:*

OR cpe:/a:sun:jre:6:update_1:*:*:*:*:*:*

OR cpe:/a:sun:jre:*:update_10:*:*:*:*:*:* (Version <= 6)

OR cpe:/a:sun:jre:6:update_2:*:*:*:*:*:*

OR cpe:/a:sun:jre:6:update_3:*:*:*:*:*:*

OR cpe:/a:sun:jre:6:update_4:*:*:*:*:*:*

OR cpe:/a:sun:jre:6:update_5:*:*:*:*:*:*

OR cpe:/a:sun:jre:6:update_6:*:*:*:*:*:*

OR cpe:/a:sun:jre:6:update_7:*:*:*:*:*:*

OR cpe:/a:sun:jre:6:update_8:*:*:*:*:*:*

OR cpe:/a:sun:jre:6:update_9:*:*:*:*:*:*

OR cpe:/a:sun:sdk:1.4.2_1:*:*:*:*:*:*:*

OR cpe:/a:sun:sdk:1.4.2_2:*:*:*:*:*:*:*

OR cpe:/a:sun:sdk:1.4.2_3:*:*:*:*:*:*:*

OR cpe:/a:sun:sdk:1.4.2_4:*:*:*:*:*:*:*

OR cpe:/a:sun:sdk:1.4.2_5:*:*:*:*:*:*:*

OR cpe:/a:sun:sdk:1.4.2_6:*:*:*:*:*:*:*

OR cpe:/a:sun:sdk:1.4.2_7:*:*:*:*:*:*:*

OR cpe:/a:sun:sdk:1.4.2_8:*:*:*:*:*:*:*

OR cpe:/a:sun:sdk:1.4.2_9:*:*:*:*:*:*:*

OR cpe:/a:sun:sdk:1.4.2_10:*:*:*:*:*:*:*

OR cpe:/a:sun:sdk:1.4.2_11:*:*:*:*:*:*:*

OR cpe:/a:sun:sdk:1.4.2_12:*:*:*:*:*:*:*

OR cpe:/a:sun:sdk:1.4.2_13:*:*:*:*:*:*:*

OR cpe:/a:sun:sdk:1.4.2_14:*:*:*:*:*:*:*

OR cpe:/a:sun:sdk:1.4.2_15:*:*:*:*:*:*:*

OR cpe:/a:sun:sdk:1.4.2_16:*:*:*:*:*:*:*

OR cpe:/a:sun:sdk:1.4.2_17:*:*:*:*:*:*:*

OR cpe:/a:sun:sdk:*:*:*:*:*:*:*:* (Version <= 1.4.2_18)

Configuration CCN 1:

cpe:/a:sun:jre:1.4.2:-:*:*:*:*:*:*

OR cpe:/a:sun:jre:1.5.0:-:*:*:*:*:*:*

OR cpe:/a:sun:sdk:1.4.2:*:*:*:*:*:*:*

OR cpe:/a:sun:jre:1.5.0:update3:*:*:*:*:*:*

OR cpe:/a:sun:jre:1.6.0:-:*:*:*:*:*:*

OR cpe:/a:sun:jdk:1.6.0:-:*:*:*:*:*:*

OR cpe:/a:sun:jdk:1.5.0:update10:*:*:*:*:*:*

OR cpe:/a:sun:jdk:1.5.0:update11:*:*:*:*:*:*

OR cpe:/a:sun:jre:1.5.0:update7:*:*:*:*:*:*

OR cpe:/a:sun:jre:1.5.0:update8:*:*:*:*:*:*

OR cpe:/a:sun:jre:1.5.0:update9:*:*:*:*:*:*

OR cpe:/a:sun:jre:1.5.0:update10:*:*:*:*:*:*

OR cpe:/a:sun:jre:1.5.0:update11:*:*:*:*:*:*

OR cpe:/a:sun:sdk:1.4.2_11:*:*:*:*:*:*:*

OR cpe:/a:sun:sdk:1.4.2_12:*:*:*:*:*:*:*

OR cpe:/a:sun:sdk:1.4.2_13:*:*:*:*:*:*:*

OR cpe:/a:sun:sdk:1.4.2_14:*:*:*:*:*:*:*

OR cpe:/a:sun:jdk:1.5.0:-:*:*:*:*:*:*

OR cpe:/a:sun:jdk:1.5.0:update1:*:*:*:*:*:*

OR cpe:/a:sun:jdk:1.5.0:update11_b03:*:*:*:*:*:*

OR cpe:/a:sun:jdk:1.5.0:update12:*:*:*:*:*:*

OR cpe:/a:sun:jdk:1.5.0:update2:*:*:*:*:*:*

OR cpe:/a:sun:jdk:1.5.0:update3:*:*:*:*:*:*

OR cpe:/a:sun:jdk:1.5.0:update4:*:*:*:*:*:*

OR cpe:/a:sun:jdk:1.5.0:update5:*:*:*:*:*:*

OR cpe:/a:sun:jdk:1.5.0:update6:*:*:*:*:*:*

OR cpe:/a:sun:jdk:1.5.0:update7:*:*:*:*:*:*

OR cpe:/a:sun:jdk:1.5.0:update7_b03:*:*:*:*:*:*

OR cpe:/a:sun:jdk:1.5.0:update8:*:*:*:*:*:*

OR cpe:/a:sun:jdk:1.5.0:update9:*:*:*:*:*:*

OR cpe:/a:sun:jdk:1.6.0:update1:*:*:*:*:*:*

OR cpe:/a:sun:jdk:1.6.0:update1_b06:*:*:*:*:*:*

OR cpe:/a:sun:jdk:1.6.0:update2:*:*:*:*:*:*

OR cpe:/a:sun:jre:1.4.2:update1:linux:*:*:*:*:*

OR cpe:/a:sun:jre:1.4.2:update2:linux:*:*:*:*:*

OR cpe:/a:sun:jre:1.4.2:update3:linux:*:*:*:*:*

OR cpe:/a:sun:jre:1.4.2:update4:linux:*:*:*:*:*

OR cpe:/a:sun:jre:1.4.2:update5:linux:*:*:*:*:*

OR cpe:/a:sun:jre:1.5.0:update1:*:*:*:*:*:*

OR cpe:/a:sun:jre:1.5.0:update12:*:*:*:*:*:*

OR cpe:/a:sun:jre:1.5.0:update13:*:*:*:*:*:*

OR cpe:/a:sun:jre:1.5.0:update2:*:*:*:*:*:*

OR cpe:/a:sun:jre:1.5.0:update4:*:*:*:*:*:*

OR cpe:/a:sun:jre:1.5.0:update5:*:*:*:*:*:*

OR cpe:/a:sun:jre:1.5.0:update6:*:*:*:*:*:*

OR cpe:/a:sun:sdk:1.4.2_03:*:*:*:*:*:*:*

OR cpe:/a:sun:sdk:1.4.2_08:*:*:*:*:*:*:*

OR cpe:/a:sun:sdk:1.4.2_09:*:*:*:*:*:*:*

OR cpe:/a:sun:sdk:1.4.2_10:*:*:*:*:*:*:*

OR cpe:/a:sun:sdk:1.4.2_15:*:*:*:*:*:*:*

OR cpe:/a:sun:jre:1.6.0:update6:*:*:*:*:*:*

OR cpe:/a:sun:jre:1.5.0:update15:*:*:*:*:*:*

OR cpe:/a:sun:jdk:1.5.0:update15:*:*:*:*:*:*

OR cpe:/a:sun:jre:1.4.2:update17:*:*:*:*:*:*

OR cpe:/a:sun:sdk:1.4.2_17:*:*:*:*:*:*:*

OR cpe:/a:sun:jdk:1.6.0:update3:*:*:*:*:*:*

OR cpe:/a:sun:jdk:1.6.0:update4:*:*:*:*:*:*

OR cpe:/a:sun:jdk:1.6.0:update5:*:*:*:*:*:*

OR cpe:/a:sun:jdk:1.6.0:update6:*:*:*:*:*:*

OR cpe:/a:sun:jre:1.6.0:update4:*:*:*:*:*:*

OR cpe:/a:sun:jre:1.6.0:update5:*:*:*:*:*:*

OR cpe:/a:sun:jdk:1.5.0:update14:*:*:*:*:*:*

OR cpe:/a:sun:jre:1.5.0:update14:*:*:*:*:*:*

OR cpe:/a:sun:sdk:1.4.2_04:*:*:*:*:*:*:*

OR cpe:/a:sun:sdk:1.4.2_02:*:*:*:*:*:*:*

OR cpe:/a:sun:sdk:1.4.2_16:*:*:*:*:*:*:*

OR cpe:/a:sun:jre:1.4.2:update16:*:*:*:*:*:*

OR cpe:/a:sun:sdk:1.4.2_05:*:*:*:*:*:*:*

OR cpe:/a:sun:sdk:1.4.2_06:*:*:*:*:*:*:*

OR cpe:/a:sun:sdk:1.4.2_07:*:*:*:*:*:*:*

OR cpe:/a:sun:sdk:1.4.2_01:*:*:*:*:*:*:*

OR cpe:/a:sun:jdk:1.5.0:update13:*:*:*:*:*:*

OR cpe:/a:sun:jdk:1.5.0:update16:*:*:*:*:*:*

OR cpe:/a:sun:jre:1.5.0:update16:*:*:*:*:*:*

OR cpe:/a:sun:jre:1.6.0:update7:*:*:*:*:*:*

OR cpe:/a:sun:jre:1.6.0:update8:*:*:*:*:*:*

OR cpe:/a:sun:jre:1.6.0:update9:*:*:*:*:*:*

OR cpe:/a:sun:jre:1.6.0:update10:*:*:*:*:*:*

OR cpe:/a:sun:jdk:1.6.0:update7:*:*:*:*:*:*

OR cpe:/a:sun:jdk:1.6.0:update8:*:*:*:*:*:*

OR cpe:/a:sun:jdk:1.6.0:update9:*:*:*:*:*:*

OR cpe:/a:sun:jdk:1.6.0:update10:*:*:*:*:*:*

OR cpe:/a:sun:jre:1.4.2:update18:*:*:*:*:*:*

OR cpe:/a:sun:sdk:1.4.2_18:*:*:*:*:*:*:*

AND

cpe:/o:novell:linux_desktop:9:*:*:*:*:*:*:*

OR cpe:/a:novell:open_enterprise_server:*:*:*:*:*:*:*:*

OR cpe:/o:opensuse:opensuse:10.3:*:*:*:*:*:*:*

OR cpe:/o:opensuse:opensuse:11.0:*:*:*:*:*:*:*

OR cpe:/o:novell:suse_linux_enterprise_server:10:sp2:itanium_ia64:*:*:*:*:*

Denotes that component is vulnerable

Oval Definitions

Definition ID	Class	Title	Last Modified
oval:org.opensuse.security:def:20085355	V	CVE-2008-5355	2015-11-16
oval:org.mitre.oval:def:5664	V	Sun Java Runtime Environment Java Update Fails to Validate Digital Signatures	2010-01-11