検出

Amazon Linux AMI:java-1.7.0-openjdk(ALAS-2017-835)

high Nessus プラグイン ID 100636

Language:

概要

リモートの Amazon Linux AMI ホストに、セキュリティ更新プログラムがありません。

説明

の信頼できないライブラリ検索パスの欠陥が の JCE コンポーネントで見つかりました。

OpenJDK。ローカルの攻撃者がこの欠陥を利用して、Java を

JCE を使用してアプリケーションに攻撃者が制御するライブラリをロードさせ、

権限を昇格させる可能性があります。CVE-2017-3511

OpenJDK の JAXP コンポーネントが、

XML ドキュメント解析時の解析ツリーのサイズ制限。攻撃者が

特別に細工された XML ドキュメントを解析する Java アプリケーションが、この欠陥を利用して

CPU とメモリを過剰に消費するようにします。CVE-2017-3526

HTTP クライアント実装が

OpenJDK のコンポーネントが NTLM 認証接続をキャッシュして再利用する可能性があります。

異なるセキュリティコンテキストを参照してください。リモートの攻撃者がこの欠陥を利用して、

Java アプリケーションに、認証情報を使用して認証された HTTP リクエストを実行させます。

異なるユーザーを発見しました。CVE-2017-3509

OpenJDK のセキュリティコンポーネントが、

Jar の整合性検証に許可される一連のアルゴリズムを制限することです。この

の欠陥により、攻撃者が、弱い関数を使用する Jar ファイルのコンテンツを改ざんする可能性があります。

引き起こす可能性があります。CVE-2017-3539

FTP および SMTP クライアント実装に改行注入の欠陥が発見されました

OpenJDKのネットワークコンポーネントで発見しました。リモートの攻撃者が、この問題を利用して、

これらの欠陥により、Java によって確立される FTP または SMTP 接続を操作できます。

発見しました。CVE-2017-3533 、 CVE-2017-3544

注この更新により、「jdk.ntlm.cache」システムプロパティへのサポートが追加されます。このプロパティは、

false に設定されている場合、 は NTLM 接続と認証のキャッシュを防ぎます。

このため、 はこの問題を防ぎます。ただし、デフォルトではキャッシュは有効なままです。

注: この更新により、 の一部としてリリースされた CVE-2016-5542 の修正が拡張されます。

RHSA-2016-2658 へのエラータが、Jar インターフェイスでの MD5 ハッシュアルゴリズムを許可しなくなりました

jdk.jar.disabledAlgorithms セキュリティに追加することによる整合性検証

発見しました。

ソリューション

「yum update java-1.7.0-openjdk'」を実行してシステムを更新してください。

参考資料

https://alas.aws.amazon.com/ALAS-2017-835.html

プラグインの詳細

深刻度: High

ID: 100636

ファイル名: ala_ALAS-2017-835.nasl

バージョン: 3.4

タイプ: local

エージェント: unix

公開日: 2017/6/7

更新日: 2025/12/17

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.3

CVSS v2

リスクファクター: Medium

基本値: 4.3

現状値: 3.4

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

CVSS スコアのソース: CVE-2017-3544

CVSS v3

リスクファクター: High

基本値: 7.7

現状値: 6.9

ベクトル: CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

CVSS スコアのソース: CVE-2017-3511

脆弱性情報

CPE: p-cpe:/a:amazon:linux:java-1.7.0-openjdk-javadoc, p-cpe:/a:amazon:linux:java-1.7.0-openjdk-src, p-cpe:/a:amazon:linux:java-1.7.0-openjdk-devel, p-cpe:/a:amazon:linux:java-1.7.0-openjdk, cpe:/o:amazon:linux, p-cpe:/a:amazon:linux:java-1.7.0-openjdk-demo, p-cpe:/a:amazon:linux:java-1.7.0-openjdk-debuginfo

必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2017/6/6

参照情報

CVE: CVE-2016-5542, CVE-2017-3509, CVE-2017-3511, CVE-2017-3526, CVE-2017-3533, CVE-2017-3539, CVE-2017-3544

ALAS: 2017-835

RHSA: 2017:1204