1. CVE-Search
  2. CVE-2013-3009
ID CVE-2013-3009
Summary The com.ibm.CORBA.iiop.ClientDelegate class in IBM Java 1.4.2 before 1.4.2 SR13-FP18, 5.0 before 5.0 SR16-FP3, 6 before 6 SR14, 6.0.1 before 6.0.1 SR6, and 7 before 7 SR5 improperly exposes the invoke method of the java.lang.reflect.Method class, which allows remote attackers to call setSecurityManager and bypass a sandbox protection mechanism via vectors related to the AccessController doPrivileged block.
References
Vulnerable Configurations
  • cpe:2.3:a:ibm:java:1.4.2:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:1.4.2:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:1.4.2.13:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:1.4.2.13:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:1.4.2.13.1:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:1.4.2.13.1:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:1.4.2.13.2:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:1.4.2.13.2:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:1.4.2.13.3:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:1.4.2.13.3:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:1.4.2.13.4:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:1.4.2.13.4:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:1.4.2.13.5:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:1.4.2.13.5:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:1.4.2.13.6:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:1.4.2.13.6:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:1.4.2.13.7:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:1.4.2.13.7:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:1.4.2.13.8:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:1.4.2.13.8:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:1.4.2.13.9:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:1.4.2.13.9:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:1.4.2.13.10:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:1.4.2.13.10:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:1.4.2.13.11:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:1.4.2.13.11:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:1.4.2.13.12:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:1.4.2.13.12:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:1.4.2.13.13:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:1.4.2.13.13:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:1.4.2.13.14:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:1.4.2.13.14:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:1.4.2.13.15:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:1.4.2.13.15:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:1.4.2.13.16:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:1.4.2.13.16:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:1.4.2.13.17:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:1.4.2.13.17:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:7.0.0.0:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:7.0.0.0:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:7.0.1.0:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:7.0.1.0:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:7.0.2.0:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:7.0.2.0:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:7.0.3.0:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:7.0.3.0:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:7.0.4.0:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:7.0.4.0:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:7.0.4.1:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:7.0.4.1:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:7.0.4.2:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:7.0.4.2:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:6.0.0.0:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:6.0.0.0:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:6.0.1.0:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:6.0.1.0:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:6.0.2.0:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:6.0.2.0:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:6.0.3.0:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:6.0.3.0:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:6.0.4.0:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:6.0.4.0:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:6.0.5.0:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:6.0.5.0:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:6.0.6.0:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:6.0.6.0:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:6.0.7.0:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:6.0.7.0:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:6.0.8.0:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:6.0.8.0:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:6.0.8.1:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:6.0.8.1:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:6.0.9.0:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:6.0.9.0:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:6.0.9.1:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:6.0.9.1:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:6.0.9.2:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:6.0.9.2:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:6.0.10.0:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:6.0.10.0:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:6.0.10.1:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:6.0.10.1:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:6.0.11.0:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:6.0.11.0:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:6.0.12.0:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:6.0.12.0:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:6.0.13.0:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:6.0.13.0:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:6.0.13.1:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:6.0.13.1:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:6.0.13.2:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:6.0.13.2:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:5.0.0.0:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:5.0.0.0:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:5.0.11.0:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:5.0.11.0:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:5.0.11.1:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:5.0.11.1:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:5.0.11.2:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:5.0.11.2:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:5.0.12.0:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:5.0.12.0:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:5.0.12.1:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:5.0.12.1:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:5.0.12.2:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:5.0.12.2:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:5.0.12.3:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:5.0.12.3:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:5.0.12.4:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:5.0.12.4:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:5.0.12.5:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:5.0.12.5:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:5.0.13.0:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:5.0.13.0:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:5.0.14.0:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:5.0.14.0:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:5.0.15.0:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:5.0.15.0:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:5.0.16.0:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:5.0.16.0:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:5.0.16.1:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:5.0.16.1:*:*:*:*:*:*:*
  • cpe:2.3:a:ibm:java:5.0.16.2:*:*:*:*:*:*:*
    cpe:2.3:a:ibm:java:5.0.16.2:*:*:*:*:*:*:*
CVSS
Base: 9.3 (as of 29-11-2017 - 02:29)
Impact:
Exploitability:
CWE NVD-CWE-noinfo
CAPEC
Access
VectorComplexityAuthentication
NETWORK MEDIUM NONE
Impact
ConfidentialityIntegrityAvailability
COMPLETE COMPLETE COMPLETE
cvss-vector via4 AV:N/AC:M/Au:N/C:C/I:C/A:C
redhat via4
advisories
  • rhsa
    id RHSA-2013:1059
  • rhsa
    id RHSA-2013:1060
  • rhsa
    id RHSA-2013:1081
rpms
  • java-1.6.0-ibm-1:1.6.0.14.0-1jpp.1.el5_9
  • java-1.6.0-ibm-1:1.6.0.14.0-1jpp.1.el6_4
  • java-1.6.0-ibm-accessibility-1:1.6.0.14.0-1jpp.1.el5_9
  • java-1.6.0-ibm-demo-1:1.6.0.14.0-1jpp.1.el5_9
  • java-1.6.0-ibm-demo-1:1.6.0.14.0-1jpp.1.el6_4
  • java-1.6.0-ibm-devel-1:1.6.0.14.0-1jpp.1.el5_9
  • java-1.6.0-ibm-devel-1:1.6.0.14.0-1jpp.1.el6_4
  • java-1.6.0-ibm-javacomm-1:1.6.0.14.0-1jpp.1.el5_9
  • java-1.6.0-ibm-javacomm-1:1.6.0.14.0-1jpp.1.el6_4
  • java-1.6.0-ibm-jdbc-1:1.6.0.14.0-1jpp.1.el5_9
  • java-1.6.0-ibm-jdbc-1:1.6.0.14.0-1jpp.1.el6_4
  • java-1.6.0-ibm-plugin-1:1.6.0.14.0-1jpp.1.el5_9
  • java-1.6.0-ibm-plugin-1:1.6.0.14.0-1jpp.1.el6_4
  • java-1.6.0-ibm-src-1:1.6.0.14.0-1jpp.1.el5_9
  • java-1.6.0-ibm-src-1:1.6.0.14.0-1jpp.1.el6_4
  • java-1.7.0-ibm-1:1.7.0.5.0-1jpp.2.el5_9
  • java-1.7.0-ibm-1:1.7.0.5.0-1jpp.2.el6_4
  • java-1.7.0-ibm-demo-1:1.7.0.5.0-1jpp.2.el5_9
  • java-1.7.0-ibm-demo-1:1.7.0.5.0-1jpp.2.el6_4
  • java-1.7.0-ibm-devel-1:1.7.0.5.0-1jpp.2.el5_9
  • java-1.7.0-ibm-devel-1:1.7.0.5.0-1jpp.2.el6_4
  • java-1.7.0-ibm-jdbc-1:1.7.0.5.0-1jpp.2.el5_9
  • java-1.7.0-ibm-jdbc-1:1.7.0.5.0-1jpp.2.el6_4
  • java-1.7.0-ibm-plugin-1:1.7.0.5.0-1jpp.2.el5_9
  • java-1.7.0-ibm-plugin-1:1.7.0.5.0-1jpp.2.el6_4
  • java-1.7.0-ibm-src-1:1.7.0.5.0-1jpp.2.el5_9
  • java-1.7.0-ibm-src-1:1.7.0.5.0-1jpp.2.el6_4
  • java-1.5.0-ibm-1:1.5.0.16.3-1jpp.1.el5_9
  • java-1.5.0-ibm-1:1.5.0.16.3-1jpp.1.el6_4
  • java-1.5.0-ibm-accessibility-1:1.5.0.16.3-1jpp.1.el5_9
  • java-1.5.0-ibm-demo-1:1.5.0.16.3-1jpp.1.el5_9
  • java-1.5.0-ibm-demo-1:1.5.0.16.3-1jpp.1.el6_4
  • java-1.5.0-ibm-devel-1:1.5.0.16.3-1jpp.1.el5_9
  • java-1.5.0-ibm-devel-1:1.5.0.16.3-1jpp.1.el6_4
  • java-1.5.0-ibm-javacomm-1:1.5.0.16.3-1jpp.1.el5_9
  • java-1.5.0-ibm-javacomm-1:1.5.0.16.3-1jpp.1.el6_4
  • java-1.5.0-ibm-jdbc-1:1.5.0.16.3-1jpp.1.el5_9
  • java-1.5.0-ibm-jdbc-1:1.5.0.16.3-1jpp.1.el6_4
  • java-1.5.0-ibm-plugin-1:1.5.0.16.3-1jpp.1.el5_9
  • java-1.5.0-ibm-plugin-1:1.5.0.16.3-1jpp.1.el6_4
  • java-1.5.0-ibm-src-1:1.5.0.16.3-1jpp.1.el5_9
  • java-1.5.0-ibm-src-1:1.5.0.16.3-1jpp.1.el6_4
refmap via4
aixapar
  • IV44792
  • IX90118
  • PM91727
confirm
fulldisc
  • 20160404 [SE-2012-01] Broken security fix in IBM Java 7/8
  • 20160405 Re: [SE-2012-01] Broken security fix in IBM Java 7/8
misc
secunia 54154
suse
  • SUSE-SU-2013:1255
  • SUSE-SU-2013:1256
  • SUSE-SU-2013:1257
  • SUSE-SU-2013:1263
  • SUSE-SU-2013:1264
  • SUSE-SU-2013:1293
  • SUSE-SU-2013:1305
xf ibm-java-cve20133009(84150)
Last major update 29-11-2017 - 02:29
Published 23-07-2013 - 11:03
Last modified 29-11-2017 - 02:29
Back to Top