Oracle Java SEの複数の脆弱性(2017年7月CPU)(Unix)

critical Nessus プラグイン ID 101844

概要

リモートのUnixホストに、複数の脆弱性の影響を受けるプログラミングプラットフォームが含まれています。

説明

リモートホストにインストールされているOracle(旧Sun)Java SEまたはJava for Businessのバージョンは、8は更新プログラム141、7は更新プログラム151、6は更新プログラム161より前です。したがって、以下のような複数の脆弱性の影響を受けます。- 2Dコンポーネントに不特定の欠陥が存在し、認証されていないリモートの攻撃者がサービス拒否状態を発生させる可能性があります。(CVE-2017-10053)-Securityコンポーネントに複数の詳細不明な欠陥が存在し、認証されていないリモートの攻撃者が任意のコードを実行する可能性があります。(CVE-2017-10067、CVE-2017-10116)-Hotspotコンポーネントに詳細不明な欠陥が存在し、認証されていないリモートの攻撃者が任意のコードを実行する可能性があります。(CVE-2017-10074)-Scriptingコンポーネントに詳細不明な欠陥が存在し、認証されたリモートの攻撃者が機密性と整合性に影響を及ぼす可能性があります。(CVE-2017-10078)-Hotspotコンポーネントに詳細不明な欠陥が存在し、認証されていないリモートの攻撃者が整合性に影響を及ぼす可能性があります。(CVE-2017-10081)-JavaFXコンポーネントに複数の詳細不明な欠陥が存在し、認証されていないリモートの攻撃者が任意のコードを実行する可能性があります。(CVE-2017-10086、CVE-2017-10114)-Librariesコンポーネントに複数の詳細不明な欠陥が存在し、認証されていないリモートの攻撃者が任意のコードを実行する可能性があります。(CVE-2017-10087、CVE-2017-10090、CVE-2017-10111)-ImageIOコンポーネントに詳細不明な欠陥が存在し、認証されていないリモートの攻撃者が任意のコードを実行する可能性があります。(CVE-2017-10089)-JAXPコンポーネントに複数の詳細不明な欠陥が存在し、認証されていないリモートの攻撃者が任意のコードを実行する可能性があります。(CVE-2017-10096、CVE-2017-10101)-RMIコンポーネントに複数の詳細不明な欠陥が存在し、認証されていないリモートの攻撃者が任意のコードを実行する可能性があります。(CVE-2017-10102、CVE-2017-10107)-Java Advanced Management ConsoleのServerコンポーネントに複数の詳細不明な欠陥が存在し、認証されたリモートの攻撃者が機密性、整合性、および可用性に影響を及ぼす可能性があります。(CVE-2017-10104、CVE-2017-10145)-Deploymentコンポーネントに詳細不明な欠陥が存在し、認証されていないリモートの攻撃者が整合性に影響を及ぼす可能性があります。(CVE-2017-10105)-Serializationコンポーネントに複数の詳細不明な欠陥が存在し、認証されていないリモートの攻撃者が利用可能なメモリを枯渇させ、サービス拒否状態を発生させる可能性があります。(CVE-2017-10108、CVE-2017-10109)-AWTコンポーネントに詳細不明な欠陥が存在し、認証されていないリモートの攻撃者が任意のコードを実行する可能性があります。(CVE-2017-10110)- JCEコンポーネントに複数の詳細不明な欠陥が存在し、認証されていないリモートの攻撃者が秘密情報を漏えいさせる可能性があります。(CVE-2017-10115、CVE-2017-10118、CVE-2017-10135)- Java Advanced Management ConsoleのServerコンポーネントに詳細不明な欠陥が存在し、認証されていないリモートの攻撃者が秘密情報を漏えいさせる可能性があります。(CVE-2017-10117)-Java Advanced Management Consoleのサーバーコンポーネントに詳細不明な欠陥が存在し、認証されないリモートの攻撃者が機密性と整合性に影響を及ぼす可能性があります。(CVE-2017-10121)-Deploymentコンポーネントに詳細不明な欠陥が存在し、ローカルの攻撃者が機密性、整合性、および可用性に影響を及ぼす可能性があります。(CVE-2017-10125)- Securityコンポーネントに複数の詳細不明な欠陥が存在し、認証されていないリモートの攻撃者が秘密情報を漏えいさせる可能性があります。(CVE-2017-10176、CVE-2017-10193、CVE-2017-10198)-JAX-WSコンポーネントに詳細不明な欠陥が存在するため、認証されていないリモートの攻撃者が機密性と可用性に影響を及ぼす可能性があります。(CVE-2017-10243)

ソリューション

Oracle JDK/JRE 8は更新プログラム141、7は更新プログラム151、6は更新プログラム161以降にアップグレードしてください。必要に応じて、影響を受けるバージョンを削除してください。注意:JDK/JRE 6 Update 95以降を入手するには、Oracleの延長サポート契約が必要です。

関連情報

http://www.nessus.org/u?76f5def7

http://www.nessus.org/u?755142b1

http://www.nessus.org/u?2fbcacca

http://www.nessus.org/u?726f7054

プラグインの詳細

深刻度: Critical

ID: 101844

ファイル名: oracle_java_cpu_jul_2017_unix.nasl

バージョン: 1.7

タイプ: local

エージェント: unix

ファミリー: Misc.

公開日: 2017/7/20

更新日: 2022/4/11

構成: 徹底的なチェックを有効にする

サポートされているセンサー: Nessus Agent

リスク情報

VPR

リスクファクター: High

スコア: 8.1

CVSS v2

リスクファクター: Medium

Base Score: 6.8

Temporal Score: 5

ベクトル: AV:N/AC:M/Au:N/C:P/I:P/A:P

現状ベクトル: E:U/RL:OF/RC:C

CVSS スコアのソース: CVE-2017-10111

CVSS v3

リスクファクター: Critical

Base Score: 9.6

Temporal Score: 8.3

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

現状ベクトル: E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:oracle:jre, cpe:/a:oracle:jdk

必要な KB アイテム: Host/Java/JRE/Installed

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2017/7/18

脆弱性公開日: 2017/7/18

参照情報

CVE: CVE-2017-10053, CVE-2017-10067, CVE-2017-10074, CVE-2017-10078, CVE-2017-10081, CVE-2017-10086, CVE-2017-10087, CVE-2017-10089, CVE-2017-10090, CVE-2017-10096, CVE-2017-10101, CVE-2017-10102, CVE-2017-10104, CVE-2017-10105, CVE-2017-10107, CVE-2017-10108, CVE-2017-10109, CVE-2017-10110, CVE-2017-10111, CVE-2017-10114, CVE-2017-10115, CVE-2017-10116, CVE-2017-10117, CVE-2017-10118, CVE-2017-10121, CVE-2017-10125, CVE-2017-10135, CVE-2017-10145, CVE-2017-10176, CVE-2017-10193, CVE-2017-10198, CVE-2017-10243

BID: 99643, 99659, 99662, 99670, 99674, 99703, 99706, 99707, 99712, 99719, 99726, 99731, 99734, 99752, 99756, 99774, 99782, 99788, 99797, 99804, 99809, 99818, 99827, 99832, 99835, 99839, 99842, 99846, 99847, 99851, 99853, 99854