検出

AIX Javaアドバイザリ: java_july2017_advisory.asc(2017年7月CPU)

critical Nessus プラグイン ID 103191

Language:

概要

リモートのAIXホストにインストールされているJava SDKのバージョンは、複数の脆弱性の影響を受けます。

説明

リモートのAIXホスト上にインストールされているJava SDKのバージョンは、以下のサブコンポーネントで複数の脆弱性による影響を受けます。- J9 VM class verifierコンポーネントに欠陥があり、認証されていないリモートの攻撃者が権限を昇格させる可能性があります。(CVE-2017-1376)- installpパッケージとupdatepパッケージに、セキュリティ更新プログラムが正しく適用されない欠陥があります。(CVE-2017-1541)- 2Dコンポーネントに詳細不明な欠陥があり、認証されていないリモートの攻撃者がサービス拒否状態を引き起こす可能性があります。(CVE-2017-10053)-Securityコンポーネントに複数の詳細不明な欠陥があり、認証されていないリモートの攻撃者が任意のコードを実行する可能性があります。(CVE-2017-10067、CVE-2017-10116)- Scriptingコンポーネントに詳細不明な欠陥があり、認証されたリモートの攻撃者が機密性と整合性に影響を及ぼす可能性があります。(CVE-2017-10078)- Librariesコンポーネントに複数の詳細不明な欠陥があり、認証されていないリモートの攻撃者が任意のコードを実行する可能性があります。(CVE-2017-10087、CVE-2017-10090)- ImageIOコンポーネントに詳細不明な欠陥があり、認証されていないリモートの攻撃者が任意のコードを実行する可能性があります。(CVE-2017-10089)-JAXPコンポーネントに複数の詳細不明な欠陥があり、認証されていないリモートの攻撃者が任意のコードを実行する可能性があります。(CVE-2017-10096、CVE-2017-10101)-RMIコンポーネントに複数の詳細不明な欠陥があり、認証されていないリモートの攻撃者が任意のコードを実行する可能性があります。(CVE-2017-10102、CVE-2017-10107)-Deploymentコンポーネントに詳細不明な欠陥があり、認証されていないリモートの攻撃者が整合性に影響を及ぼす可能性があります。(CVE-2017-10105)-Serializationコンポーネントに複数の詳細不明な欠陥があり、認証されていないリモートの攻撃者が利用可能なメモリを枯渇させ、サービス拒否状態を発生させる可能性があります。(CVE-2017-10108、CVE-2017-10109)-AWTコンポーネントに詳細不明な欠陥があり、認証されていないリモートの攻撃者が任意のコードを実行する可能性があります。(CVE-2017-10110)- JCEコンポーネントに複数の詳細不明な欠陥があり、認証されていないリモートの攻撃者が秘密情報を漏えいさせる可能性があります。(CVE-2017-10115)- Deploymentコンポーネントに詳細不明な欠陥があり、ローカルの攻撃者が機密性、整合性、および可用性に影響を及ぼす可能性があります。(CVE-2017-10125)- JAX-WSコンポーネントに詳細不明な欠陥が存在するため、認証されていないリモートの攻撃者が機密性と可用性に影響を及ぼす可能性があります。(CVE-2017-10243)

ソリューション

修正プログラムはバージョン別に利用可能で、IBM AIXのWebサイトからダウンロードできます。

参考資料

http://www.nessus.org/u?1f03c72d

http://www.nessus.org/u?ce533d8f

http://www.nessus.org/u?17d05c61

http://www.nessus.org/u?d4595696

http://www.nessus.org/u?9abd5252

http://www.nessus.org/u?4ee03dc1

http://www.nessus.org/u?8f7a066c

http://www.nessus.org/u?52d4ddf3

http://www.nessus.org/u?343fa903

http://www.nessus.org/u?76f5def7

プラグインの詳細

深刻度: Critical

ID: 103191

ファイル名: aix_java_july2017_advisory.nasl

バージョン: 1.12

タイプ: local

ファミリー: AIX Local Security Checks

公開日: 2017/9/13

更新日: 2023/4/21

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.3

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 5.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2017-1376

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/o:ibm:aix, cpe:/a:oracle:jre, cpe:/a:oracle:jdk

必要な KB アイテム: Host/AIX/lslpp, Host/local_checks_enabled, Host/AIX/version, Host/AIX/oslevelsp

パッチ公開日: 2017/9/1

脆弱性公開日: 2017/2/6

参照情報

CVE: CVE-2017-10053, CVE-2017-10067, CVE-2017-10078, CVE-2017-10087, CVE-2017-10089, CVE-2017-10090, CVE-2017-10096, CVE-2017-10101, CVE-2017-10102, CVE-2017-10105, CVE-2017-10107, CVE-2017-10108, CVE-2017-10109, CVE-2017-10110, CVE-2017-10115, CVE-2017-10116, CVE-2017-10125, CVE-2017-10243, CVE-2017-1376, CVE-2017-1541

BID: 99643, 99659, 99670, 99674, 99703, 99706, 99712, 99719, 99734, 99752, 99756, 99774, 99809, 99827, 99842, 99846, 99847, 99851, 100460