NVD Vulnerability Detail

CVE-2013-2423

Summary	Unspecified vulnerability in the Java Runtime Environment (JRE) component in Oracle Java SE 7 Update 17 and earlier, and OpenJDK 7, allows remote attackers to affect integrity via unknown vectors related to HotSpot. NOTE: the previous information is from the April 2013 CPU. Oracle has not commented on claims from the original researcher that this vulnerability allows remote attackers to bypass permission checks by the MethodHandles method and modify arbitrary public final fields using reflection and type confusion, as demonstrated using integer and double fields to disable the security manager.
Summary	Una vulnerabilidad no especificada en el componente Java Runtime Environment (JRE) en Java SE versión 7 Update 17 y anteriores, y OpenJDK versión 7 de Oracle, permite a los atacantes remotos afectar la integridad por medio de vectores desconocidos relacionados a HotSpot. NOTA: la información anterior es de la CPU de abril de 2013. Oracle no ha comentado sobre las afirmaciones del investigador original de que esta vulnerabilidad permite a los atacantes remotos omitir las comprobaciones de permisos mediante el método MethodHandles y modificar campos finales públicos arbitrarios mediante la reflexión y la confusión de tipos, como es demostrado usando los campos enteros y dobles para deshabilitar el administrador de seguridad.
Publication Date	April 18, 2013, 3:55 a.m.
Registration Date	Jan. 26, 2021, 3:38 p.m.
Last Update	April 22, 2026, 10:06 p.m.

CVSS3.1 : LOW
スコア	3.7
Vector	CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	高
攻撃に必要な特権レベル(PR)	不要
利用者の関与(UI)	不要
影響の想定範囲(S)	変更なし
機密性への影響(C)	なし
完全性への影響(I)	低
可用性への影響(A)	なし

CVSS2.0 : MEDIUM
Score	4.3
Vector	AV:N/AC:M/Au:N/C:N/I:P/A:N
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	中
攻撃前の認証要否(Au)	不要
機密性への影響(C)	なし
完全性への影響(I)	低
可用性への影響(A)	なし
Get all privileges.	いいえ
Get user privileges	いいえ
Get other privileges	いいえ
User operation required	いいえ

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:oracle:jre:1.7.0:-::::::
cpe:2.3:a:oracle:jre:1.7.0:update1::::::
cpe:2.3:a:oracle:jre:1.7.0:update10::::::
cpe:2.3:a:oracle:jre:1.7.0:update11::::::
cpe:2.3:a:oracle:jre:1.7.0:update13::::::
cpe:2.3:a:oracle:jre:1.7.0:update15::::::
cpe:2.3:a:oracle:jre:1.7.0:update2::::::
cpe:2.3:a:oracle:jre:1.7.0:update3::::::
cpe:2.3:a:oracle:jre:1.7.0:update4::::::
cpe:2.3:a:oracle:jre:1.7.0:update5::::::
cpe:2.3:a:oracle:jre:1.7.0:update6::::::
cpe:2.3:a:oracle:jre:1.7.0:update7::::::
cpe:2.3:a:oracle:jre:1.7.0:update9::::::
cpe:2.3:o:canonical:ubuntu_linux:12.10:::::::*
cpe:2.3:o:opensuse:opensuse:12.3:::::::*

Related information, measures and tools

No	URL	refsource
1	http://blog.fuseyism.com/index.php/2013/04/22/security-icedtea-2-3-9-for-openjdk-7-released/	secalert_us@oracle.com
2	http://blog.spiderlabs.com/2013/04/java-is-so-confusing.html	secalert_us@oracle.com
3	http://hg.openjdk.java.net/jdk7u/jdk7u-dev/jdk/rev/b453d9be6b3f	secalert_us@oracle.com
4	http://lists.opensuse.org/opensuse-updates/2013-06/msg00099.html	secalert_us@oracle.com
5	http://rhn.redhat.com/errata/RHSA-2013-0752.html	secalert_us@oracle.com
6	http://rhn.redhat.com/errata/RHSA-2013-0757.html	secalert_us@oracle.com
7	http://security.gentoo.org/glsa/glsa-201406-32.xml	secalert_us@oracle.com
8	http://weblog.ikvm.net/PermaLink.aspx?guid=acd2dd6d-1028-4996-95df-efa42ac237f0	secalert_us@oracle.com
9	http://www.exploit-db.com/exploits/24976	secalert_us@oracle.com
10	http://www.mandriva.com/security/advisories?name=MDVSA-2013:161	secalert_us@oracle.com
11	http://www.oracle.com/technetwork/topics/security/javacpuapr2013-1928497.html	secalert_us@oracle.com
12	http://www.ubuntu.com/usn/USN-1806-1	secalert_us@oracle.com
13	http://www.us-cert.gov/ncas/alerts/TA13-107A	secalert_us@oracle.com
14	https://bugzilla.redhat.com/show_bug.cgi?id=952398	secalert_us@oracle.com
15	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A16700	secalert_us@oracle.com
16	https://wiki.mageia.org/en/Support/Advisories/MGASA-2013-0130	secalert_us@oracle.com
17	http://blog.fuseyism.com/index.php/2013/04/22/security-icedtea-2-3-9-for-openjdk-7-released/	af854a3a-2127-422b-91ae-364da2661108
18	http://blog.spiderlabs.com/2013/04/java-is-so-confusing.html	af854a3a-2127-422b-91ae-364da2661108
19	http://hg.openjdk.java.net/jdk7u/jdk7u-dev/jdk/rev/b453d9be6b3f	af854a3a-2127-422b-91ae-364da2661108
20	http://lists.opensuse.org/opensuse-updates/2013-06/msg00099.html	af854a3a-2127-422b-91ae-364da2661108
21	http://rhn.redhat.com/errata/RHSA-2013-0752.html	af854a3a-2127-422b-91ae-364da2661108
22	http://rhn.redhat.com/errata/RHSA-2013-0757.html	af854a3a-2127-422b-91ae-364da2661108
23	http://security.gentoo.org/glsa/glsa-201406-32.xml	af854a3a-2127-422b-91ae-364da2661108
24	http://weblog.ikvm.net/PermaLink.aspx?guid=acd2dd6d-1028-4996-95df-efa42ac237f0	af854a3a-2127-422b-91ae-364da2661108
25	http://www.exploit-db.com/exploits/24976	af854a3a-2127-422b-91ae-364da2661108
26	http://www.mandriva.com/security/advisories?name=MDVSA-2013:161	af854a3a-2127-422b-91ae-364da2661108
27	http://www.oracle.com/technetwork/topics/security/javacpuapr2013-1928497.html	af854a3a-2127-422b-91ae-364da2661108
28	http://www.ubuntu.com/usn/USN-1806-1	af854a3a-2127-422b-91ae-364da2661108
29	http://www.us-cert.gov/ncas/alerts/TA13-107A	af854a3a-2127-422b-91ae-364da2661108
30	https://bugzilla.redhat.com/show_bug.cgi?id=952398	af854a3a-2127-422b-91ae-364da2661108
31	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A16700	af854a3a-2127-422b-91ae-364da2661108
32	https://wiki.mageia.org/en/Support/Advisories/MGASA-2013-0130	af854a3a-2127-422b-91ae-364da2661108
33	https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2013-2423	134c704f-9b21-4f2e-91b3-4a467353bcc0

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-284	不適切なアクセス制御	https://cwe.mitre.org/data/definitions/284.html

JVN Vulnerability Information

Oracle Java SE の Java Runtime Environment における HotSpot の処理に関する脆弱性

Title	Oracle Java SE の Java Runtime Environment における HotSpot の処理に関する脆弱性
Summary	Oracle Java SE の Java Runtime Environment (JRE) および OpenJDK には、HotSpot に関する処理に不備があるため、完全性に影響のある脆弱性が存在します。本情報は、April 2013 Critical Patch Update (CPU) に基づく脆弱性情報です。当初、研究者が、整数フィールドと double 型実数フィールドを使用してセキュリティマネージャを無効化するデモンストレーションによって、MethodHandles メソッドによってパーミッションの確認を回避される、およびリフレクションと type confusion を使用して任意の public final フィールドを変更される可能性があると主張していますが、オラクル社はコメントしていません。
Possible impacts	第三者により、情報を改ざんされる可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	April 16, 2013, midnight
Registration Date	April 22, 2013, 10:39 a.m.
Last Update	March 28, 2014, 6:29 p.m.

Affected System

オラクル

JDK 7 Update 17 およびそれ以前

JRE 7 Update 17 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2013-2423	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2423
National Vulnerability Database (NVD)
2	CVE-2013-2423	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-2423

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-noinfo	https://www.ipa.go.jp/security/vuln/CWE.html#CWEnoinfo

ベンダー情報

No	Name	URL
opensuse-updates
1	openSUSE-SU-2013:0964	http://lists.opensuse.org/opensuse-updates/2013-06/msg00099.html
Oracle
2	jdk7u/jdk7u-dev/jdk / changeset	http://hg.openjdk.java.net/jdk7u/jdk7u-dev/jdk/rev/b453d9be6b3f
Oracle Critical Patch Update
3	Oracle Java SE Critical Patch Update Advisory - April 2013	http://www.oracle.com/technetwork/topics/security/javacpuapr2013-1928497.html
4	Text Form of Oracle Java SE Critical Patch Update - April 2013 Risk Matrices	http://www.oracle.com/technetwork/topics/security/javacpuapr2013verbose-1928687.html
Red Hat Bugzilla
5	Bug 952398	https://bugzilla.redhat.com/show_bug.cgi?id=952398
Red Hat Security Advisory
6	RHSA-2013:0752 Important: java-1.7.0-openjdk security update	http://rhn.redhat.com/errata/RHSA-2013-0752.html
7	RHSA-2013:0757 Critical: java-1.7.0-oracle security update	http://rhn.redhat.com/errata/RHSA-2013-0757.html
SECURITY BLOG
8	April 2013 Critical Patch Update for Java SE Released	https://blogs.oracle.com/security/entry/april_2013_critical_patch_update1
Turbolinux Security Advisory
9	TLSA-2013-2	http://www.turbolinux.co.jp/security/2013/TLSA-2013-2j.html
Ubuntu Security Notice
10	USN-1806-1	http://www.ubuntu.com/usn/USN-1806-1/
富士通セキュリティ情報
11	Oracle Corporation Javaプラグインの脆弱性に関するお知らせ	http://www.fmworld.net/biz/common/oracle/20130417.html

その他

No	Name	URL
IPA 重要なセキュリティ情報
1	Oracle Java の脆弱性対策について(CVE-2013-2383等)	http://www.ipa.go.jp/security/ciadr/vul/20130417-jre.html
JPCERT 注意喚起
2	JPCERT-AT-2013-0021	https://www.jpcert.or.jp/at/2013/at130021.txt
JVN
3	JVNTA13-107A	http://jvn.jp/cert/JVNTA13-107A/index.html
US-CERT Technical Cyber Security Alert
4	TA13-107A	https://www.us-cert.gov/ncas/alerts/TA13-107A
関連文書
5	GNU/Andrew's Blog: [SECURITY] IcedTea 2.3.9 for OpenJDK 7 Released!	http://blog.fuseyism.com/index.php/2013/04/22/security-icedtea-2-3-9-for-openjdk-7-released/
6	MGASA-2013-0130	https://wiki.mageia.org/en/Support/Advisories/MGASA-2013-0130

Change Log

No	Changed Details	Date of change
0	[2013年04月22日] 掲載 [2013年06月18日] 　概要：内容を更新　ベンダ情報：オラクル (jdk7u/jdk7u-dev/jdk / changeset) を追加　ベンダ情報：Ubuntu (USN-1806-1) を追加　ベンダ情報：レッドハット (RHSA-2013:0752) を追加　ベンダ情報：レッドハット (RHSA-2013:0757) を追加　ベンダ情報：レッドハット (Bug 952398) を追加　参考情報：GNU/Andrew's Blog (IcedTea 2.3.9 for OpenJDK 7) を追加 [2013年07月05日] ベンダ情報：openSUSE (openSUSE-SU-2013:0964) を追加 [2013年08月12日] ベンダ情報：ターボリナックス (TLSA-2013-2) を追加 [2014年03月28日] 参考情報：関連文書 (MGASA-2013-0130) を追加	Feb. 17, 2018, 10:37 a.m.

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:oracle:jre:1.7.0:-::::::
cpe:2.3:a:oracle:jre:1.7.0:update1::::::
cpe:2.3:a:oracle:jre:1.7.0:update10::::::
cpe:2.3:a:oracle:jre:1.7.0:update11::::::
cpe:2.3:a:oracle:jre:1.7.0:update13::::::
cpe:2.3:a:oracle:jre:1.7.0:update15::::::
cpe:2.3:a:oracle:jre:1.7.0:update2::::::
cpe:2.3:a:oracle:jre:1.7.0:update3::::::
cpe:2.3:a:oracle:jre:1.7.0:update4::::::
cpe:2.3:a:oracle:jre:1.7.0:update5::::::
cpe:2.3:a:oracle:jre:1.7.0:update6::::::
cpe:2.3:a:oracle:jre:1.7.0:update7::::::
cpe:2.3:a:oracle:jre:1.7.0:update9::::::
cpe:2.3:o:canonical:ubuntu_linux:12.10:::::::*
cpe:2.3:o:opensuse:opensuse:12.3:::::::*