Amazon Linux AMI:java-1.8.0-openjdk(ALAS-2017-917)

critical Nessus プラグイン ID 104183

概要

リモートのAmazon Linux AMIホストに、セキュリティ更新プログラムがありません。

説明

逆シリアル化における複数の無制限メモリ割り当て(Serialization、8174109):Java SE、Java SE Embedded、Oracle Java SEのJRockitコンポーネントの脆弱性(サブコンポーネント:Serialization)。影響を受け、サポートされているバージョンは、Java SE:6u161、7u151、8u144、9、Java SE Embedded:8u144、JRockit:R28.3.15です。容易に悪用可能な脆弱性を使用して、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE、Java SE Embedded、JRockitを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Java SE、Java SE Embedded、JRockitの部分的なサービス拒否(部分的DOS)が権限なしで引き起こされる可能性があります。注意:この脆弱性は、サンドボックス化されたJava Web StartアプリケーションとJavaアプレットを通じて悪用される可能性があります。また、サンドボックス化されたJava Web Startアプリケーションやサンドボックス化されたJavaアプレット(Webサービスなど)を使用せずに、指定されたコンポーネントのAPIにデータを提供することでも悪用されます。(CVE-2017-10281)JceKeyStore逆シリアル化で無制限にリソースを使用(Serialization、8181370):Java SE、Java SE Embedded、Oracle Java SEのJRockitコンポーネントの脆弱性(サブコンポーネント:Serialization)。影響を受け、サポートされているバージョンは、Java SE:6u161、7u151、8u144、9、Java SE Embedded:8u144、JRockit:R28.3.15です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、Java SE、Java SE Embedded、JRockitを侵害する可能性があります。この攻撃が成功するには、攻撃者以外の人物の関与が必要です。この脆弱性に対する攻撃が成功すると、Java SE、Java SE Embedded、JRockitの部分的なサービス拒否(部分的DOS)が権限なしで引き起こされる可能性があります。注意:この脆弱性は、サンドボックス化されたJava Web StartアプリケーションとJavaアプレットを通じて悪用される可能性があります。また、サンドボックス化されたJava Web Startアプリケーションやサンドボックス化されたJavaアプレット(Webサービスなど)を使用せずに、指定されたコンポーネントのAPIにデータを提供することでも悪用されます。(CVE-2017-10345)invokespecialのローダー制約チェックが不十分(Hotspot、8180711):Java SE、Oracle Java SEのJava SE Embeddedコンポーネントの脆弱性(サブコンポーネント:Hotspot)。サポートされているバージョンのうち、影響を受けるのはJava SE:6u161、7u151、8u144、9、Java SE Embedded:8u144です。容易に悪用可能な脆弱性を使用して、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SEやJava SE Embeddedを侵害する可能性があります。攻撃を成功させるには攻撃者以外の人間の関与が必要であり、脆弱性が存在するのはJava SE、Java SE Embeddedであるものの、攻撃が他の製品に大きな影響を与える可能性があります。この脆弱性に対する攻撃が成功すると、Java SEおよびJava SE Embeddedの乗っ取りが発生する可能性があります。注意:この脆弱性は、通常、サンドボックス化されたJava Web Startアプリケーションまたはサンドボックス化されたJavaアプレットを実行しているクライアントで信頼できないコード(インターネットからのコードなど)を読み込んで実行し、セキュリティをJavaサンドボックスに依存するJavaデプロイメントが対象です。この脆弱性は、通常サーバーで信頼できるコード(管理者がインストールしたコードなど)のみを読み込んで実行するJavaデプロイメントには存在しません。(CVE-2017-10346)SimpleTimeZone逆シリアル化での無制限メモリ割り当て(Serialization、8181323):Java SE、Oracle Java SEのJRockitコンポーネントの脆弱性(サブコンポーネント:Serialization)。サポートされているバージョンのうち、影響を受けるのはJava SE:6u161、7u151、8u144、9、Java SE Embedded:8u144です。容易に悪用可能な脆弱性を使用して、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SEやJRockitを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Java SEやJRockitの部分的なサービス拒否(部分的DOS)が権限なしで引き起こされる可能性があります。注意:この脆弱性は、通常、サンドボックス化されたJava Web Startアプリケーションまたはサンドボックス化されたJavaアプレットを実行しているクライアントで信頼できないコード(インターネットからのコードなど)を読み込んで実行し、セキュリティをJavaサンドボックスに依存するJavaデプロイメントが対象です。この脆弱性は、通常サーバーで信頼できるコード(管理者がインストールしたコードなど)のみを読み込んで実行するJavaデプロイメントには存在しません。(CVE-2017-10347)参照されていないオブジェクトを処理するときに不適切な権限を使用(RMI、8174966):Java SE、Oracle Java SEのJava SE Embeddedコンポーネントの脆弱性(サブコンポーネント:RMI)。サポートされているバージョンのうち、影響を受けるのはJava SE:6u161、7u151、8u144、9、Java SE Embedded:8u144です。容易に悪用可能な脆弱性を使用して、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SEやJava SE Embeddedを侵害する可能性があります。攻撃を成功させるには攻撃者以外の人間の関与が必要であり、脆弱性が存在するのはJava SE、Java SE Embeddedであるものの、攻撃が他の製品に大きな影響を与える可能性があります。この脆弱性に対する攻撃が成功すると、Java SEおよびJava SE Embeddedの乗っ取りが発生する可能性があります。注意:この脆弱性は、通常、サンドボックス化されたJava Web Startアプリケーションまたはサンドボックス化されたJavaアプレットを実行しているクライアントで信頼できないコード(インターネットからのコードなど)を読み込んで実行し、セキュリティをJavaサンドボックスに依存するJavaデプロイメントが対象です。この脆弱性は、通常サーバーで信頼できるコード(管理者がインストールしたコードなど)のみを読み込んで実行するJavaデプロイメントには存在しません。(CVE-2017-10285)キーストアの保護がブルートフォース攻撃に対して弱い(Security、8181692):OpenJDKのセキュリティコンポーネントがパスワードベースの弱い暗号化キーを生成して、キーストアに格納された秘密鍵を保護していることがわかりました。これにより、攻撃者がキーストアにアクセスできるようになった場合、保管されたキーを解読するためのパスワード推測攻撃を簡単に実行できます。(CVE-2017-10356)FtpClientで、デフォルトでネットワーク動作のタイムアウトがない(Networking、8181612):OpenJDKのNetworkingコンポーネントのFtpClient実装では、デフォルトで接続タイムアウトと読み取りタイムアウトが設定されないことがわかりました。悪意のあるFTPサーバーや中間にいる攻撃者が、この欠陥を使用してFTPサーバーに接続するJavaアプリケーションの実行をブロックする可能性があります。(CVE-2017-10355)HTTPクライアントにおけるURLの改行文字の不十分なチェック(Networking、8176751):OpenJDKのNetworkingコンポーネントのHttpURLConnectionクラスとHttpsURLConnectionクラスで、URLに埋め込まれた改行文字がチェックされていないことがわかりました。Javaアプリケーションを作成できる攻撃者が自ら用意したURLを使用してHTTPリクエストを実行し、リクエストに追加のヘッダーを挿入する可能性があります。(CVE-2017-10295)逆シリアル化での複数の無制限メモリ割り当て(Libraries、8181432):Java SE、Oracle Java SEのJava SE Embeddedコンポーネントの脆弱性(サブコンポーネント:Libraries)。サポートされているバージョンのうち、影響を受けるのはJava SE:6u161、7u151、8u144、9、Java SE Embedded:8u144です。容易に悪用可能な脆弱性を使用して、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SEやJava SE Embeddedを侵害する可能性があります。この脆弱性への攻撃が成功すると、Java SEやJava SE Embeddedの部分的なサービス拒否(部分的DOS)が権限なしで引き起こされる可能性があります。注意:この脆弱性は、通常、サンドボックス化されたJava Web Startアプリケーションまたはサンドボックス化されたJavaアプレットを実行しているクライアントで信頼できないコード(インターネットからのコードなど)を読み込んで実行し、セキュリティをJavaサンドボックスに依存するJavaデプロイメントが対象です。この脆弱性は、通常サーバーで信頼できるコード(管理者がインストールしたコードなど)のみを読み込んで実行するJavaデプロイメントには存在しません。(CVE-2017-10348)PredicatedNodeTest逆シリアル化での無制限メモリ割り当て(JAXP、8181327):Java SE、Oracle Java SEのJava SE Embeddedコンポーネントの脆弱性(サブコンポーネント:JAXP)。サポートされているバージョンのうち、影響を受けるのはJava SE:6u161、7u151、8u144、9、Java SE Embedded:8u144です。容易に悪用可能な脆弱性を使用して、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SEやJava SE Embeddedを侵害する可能性があります。この脆弱性への攻撃が成功すると、Java SEやJava SE Embeddedの部分的なサービス拒否(部分的DOS)が権限なしで引き起こされる可能性があります。注意:この脆弱性は、通常、サンドボックス化されたJava Web Startアプリケーションまたはサンドボックス化されたJavaアプレットを実行しているクライアントで信頼できないコード(インターネットからのコードなど)を読み込んで実行し、セキュリティをJavaサンドボックスに依存するJavaデプロイメントが対象です。この脆弱性は、通常サーバーで信頼できるコード(管理者がインストールしたコードなど)のみを読み込んで実行するJavaデプロイメントには存在しません。(CVE-2017-10349)JAXWSExceptionBase逆シリアル化の無制限メモリ割り当て(JAX-WS、8181100):Java SE、Oracle Java SEのJava SE Embeddedコンポーネントの脆弱性(サブコンポーネント:JAX-WS)。影響を受け、サポートされているバージョンは、Java SE:7u151、8u144、9、 Java SE Embedded:8u144です。容易に悪用可能な脆弱性を使用して、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SEやJava SE Embeddedを侵害する可能性があります。この脆弱性への攻撃が成功すると、Java SEやJava SE Embeddedの部分的なサービス拒否(部分的DOS)が権限なしで引き起こされる可能性があります。注意:この脆弱性は、通常、サンドボックス化されたJava Web Startアプリケーションまたはサンドボックス化されたJavaアプレットを実行しているクライアントで信頼できないコード(インターネットからのコードなど)を読み込んで実行し、セキュリティをJavaサンドボックスに依存するJavaデプロイメントが対象です。この脆弱性は、通常サーバーで信頼できるコード(管理者がインストールしたコードなど)のみを読み込んで実行するJavaデプロイメントには存在しません。(CVE-2017-10350)CardImplの不適切な状態処理(Smart Card IO、8169026):Oracle Java SEのJava SE Embeddedコンポーネントの脆弱性(サブコンポーネント:Smart Card IO)。影響を受けるサポートされるバージョンは、Java SE:6u161、7u151、8u144、9です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、Java SEを侵害する可能性があります。この攻撃が成功するには、攻撃者以外の人物の関与が必要です。この脆弱性に対する攻撃が成功すると、重要なデータやJava SEがアクセスできるすべてのデータが権限なしで作成、削除、変更される可能性があるとともに、権限なしで重要なデータにアクセスできるようになったり、Java SEがアクセスできるすべてのデータに完全にアクセスできるようになったりする可能性があります。注意:この脆弱性は、通常、サンドボックス化されたJava Web Startアプリケーションまたはサンドボックス化されたJavaアプレットを実行しているクライアントで信頼できないコード(インターネットからのコードなど)を読み込んで実行し、セキュリティをJavaサンドボックスに依存するJavaデプロイメントが対象です。この脆弱性は、通常サーバーで信頼できるコード(管理者がインストールしたコードなど)のみを読み込んで実行するJavaデプロイメントには存在しません。CVSS 3.0ベーススコア6.8(機密性と整合性への影響)(CVE-2017-10274)ObjectInputStream逆シリアル化無制限メモリ割り当て(Serialization, 8181597):Java SE、Oracle Java SEのJava SE Embeddedコンポーネントの脆弱性(サブコンポーネント:Serialization)。サポートされているバージョンのうち、影響を受けるのはJava SE:6u161、7u151、8u144、9、Java SE Embedded:8u144です。容易に悪用可能な脆弱性を使用して、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SEやJava SE Embeddedを侵害する可能性があります。この脆弱性への攻撃が成功すると、Java SEやJava SE Embeddedの部分的なサービス拒否(部分的DOS)が権限なしで引き起こされる可能性があります。注意:この脆弱性は、通常、サンドボックス化されたJava Web Startアプリケーションまたはサンドボックス化されたJavaアプレットを実行しているクライアントで信頼できないコード(インターネットからのコードなど)を読み込んで実行し、セキュリティをJavaサンドボックスに依存するJavaデプロイメントが対象です。この脆弱性は、通常サーバーで信頼できるコード(管理者がインストールしたコードなど)のみを読み込んで実行するJavaデプロイメントには存在しません。(CVE-2017-10357)Kerberosクライアントにおける保護されていないsnameの使用(Libraries、8178794):OpenJDKのLibrariesコンポーネントのKerberosクライアント実装で、KDC応答メッセージの暗号化部分ではなく、プレーンテキスト部分のsnameフィールドが使用されていることがわかりました。中間にいる攻撃者がこの欠陥を使用して、Kerberosクライアントとして機能するJavaアプリケーションでKerberosサービスを偽装する可能性があります。(CVE-2017-10388)

ソリューション

「yum update java-1.8.0-openjdk」を実行してシステムを更新してください。

参考資料

https://alas.aws.amazon.com/ALAS-2017-917.html

プラグインの詳細

深刻度: Critical

ID: 104183

ファイル名: ala_ALAS-2017-917.nasl

バージョン: 3.5

タイプ: local

エージェント: unix

公開日: 2017/10/27

更新日: 2019/7/10

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.3

CVSS v2

リスクファクター: Medium

Base Score: 6.8

Temporal Score: 5.3

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS v3

リスクファクター: Critical

Base Score: 9.6

Temporal Score: 8.6

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:amazon:linux:java-1.8.0-openjdk, p-cpe:/a:amazon:linux:java-1.8.0-openjdk-debuginfo, p-cpe:/a:amazon:linux:java-1.8.0-openjdk-demo, p-cpe:/a:amazon:linux:java-1.8.0-openjdk-devel, p-cpe:/a:amazon:linux:java-1.8.0-openjdk-headless, p-cpe:/a:amazon:linux:java-1.8.0-openjdk-javadoc, p-cpe:/a:amazon:linux:java-1.8.0-openjdk-javadoc-zip, p-cpe:/a:amazon:linux:java-1.8.0-openjdk-src, cpe:/o:amazon:linux

必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2017/10/26

脆弱性公開日: 2017/10/19

参照情報

CVE: CVE-2017-10274, CVE-2017-10281, CVE-2017-10285, CVE-2017-10295, CVE-2017-10345, CVE-2017-10346, CVE-2017-10347, CVE-2017-10348, CVE-2017-10349, CVE-2017-10350, CVE-2017-10355, CVE-2017-10356, CVE-2017-10357, CVE-2017-10388

ALAS: 2017-917