Sono in test di penetrazione su un server con Linux RHEL6 / 7 os. I database di vulnerabilità come link hanno menzionato la vulnerabilità CVE-2014-2483 per Java nei sistemi RHEL Linux. Ho cercato il modo in cui posso testare la mia destinazione per la vulnerabilità, ma non ho trovato nulla.
Come posso testare il mio server per questa vulnerabilità?
Il modo migliore / più accurato per testare cose come questa è in un approccio di valutazione della sicurezza white-box, controllando la versione di Java installata sul sistema. Quindi su un sistema redhat qualcosa come rpm -qa fornirebbe la versione installata, quindi controlla i changelog per il pacchetto che dovrebbe elencare quali CVE sono stati indirizzati.
Per automatizzarlo, qualcosa come Nessus può essere usato con le credenziali per fornire informazioni. su quali pacchetti obsoleti sono installati su un sistema.
Se stai provando a fare questa "scatola nera", avresti bisogno di scavare nei dettagli esatti del vuln (che potrebbe essere difficile se non ci fosse stata la divulgazione dei dettagli tecnici, che è il caso con molti problemi) e poi vedere se è sfruttabile da remoto.
Esiste un controllo OpenVAS che sembra specifico per CVE-2014-2483.
Ulteriori riferimenti possono essere trovati su Dettagli CVE .
Leggi altre domande sui tag java linux vulnerability penetration-test