SUSE SLED12 / SLES12セキュリティ更新プログラム: java-1_7_0-openjdk(SUSE-SU-2018:0005-1)
critical Nessus プラグイン ID 105538
Language:
概要
リモートのSUSEホストに1つ以上のセキュリティ更新がありません。説明
このjava-1_7_0-openjdk修正の更新では、以下の問題を修正します:キャッシュサイドチャネル攻撃の軽減:
- CVE-2017-10356:サブコンポーネントセキュリティ内の問題を修正します(bsc#1064084)。
- CVE-2017-10274:サブコンポーネントSmart Card IO内の問題を修正します(bsc#1064071)。
- CVE-2017-10281:サブコンポーネントシリアル化内の問題を修正します(bsc#1064072)。
- CVE-2017-10285:サブコンポーネントRMI内の問題を修正します(bsc#1064073)。
- CVE-2017-10295:サブコンポーネントネットワーク内の問題を修正します(bsc#1064075)。
- CVE-2017-10388:サブコンポーネントライブラリ内の問題を修正します(bsc#1064086)。
- CVE-2017-10346:サブコンポーネントホットスポット内の問題を修正します(bsc#1064078)。
- CVE-2017-10350:サブコンポーネントJAX-WS内の問題を修正します(bsc#1064082)。
- CVE-2017-10347:サブコンポーネントシリアル化内の問題を修正します(bsc#1064079)。
- CVE-2017-10349:サブコンポーネントJAXP内の問題を修正します(bsc#1064081)。
- CVE-2017-10345:サブコンポーネントシリアル化内の問題を修正します(bsc#1064077)。
- CVE-2017-10348:サブコンポーネントライブラリ内の問題を修正します(bsc#1064080)。
- CVE-2017-10357:サブコンポーネントシリアル化内の問題を修正します(bsc#1064085)。
- CVE-2017-10355:サブコンポーネントネットワーク内の問題を修正します(bsc#1064083)。
- CVE-2017-10102:DGCのリファレンスの不適切な処理を修正します(bsc#1049316)。
- CVE-2017-10053:JPEGImageReaderの未処理画像データの読み取りを修正します(bsc#1049305)。
- CVE-2017-10067:欠落するダイジェストのJAR検証機能の不適切な処理を修正します(bsc#1049306)。
- CVE-2017-10081:関数シグネチャ処理での不適切な括弧の処理を修正します(bsc#1049309)。
- CVE-2017-10087:ThreadPoolExecutorにおける不十分なアクセスコントロールチェックを修正します(bsc#1049311)。
- CVE-2017-10089:ServiceRegistryにおける不十分なアクセスコントロールチェックを修正します(bsc#1049312)。
- CVE-2017-10090:AsynchronousChannelGroupImplにおける不十分なアクセスコントロールチェックを修正します(bsc#1049313)。
- CVE-2017-10096:XML変換における不十分なアクセスコントロールチェックを修正します(bsc#1049314)。
- CVE-2017-10101:com.sun.org.apache.xml.internal.resolverへの無制限アクセスを修正します(bsc#1049315)。
- CVE-2017-10107:ActivationIDにおける不十分なアクセスコントロールチェックを修正します(bsc#1049318)。
- CVE-2017-10074:範囲チェックループ述部における整数オーバーフローを修正します(bsc#1049307)。
- CVE-2017-10110:ImageWatchedにおける不十分なアクセスコントロールチェックを修正します(bsc#1049321)。
- CVE-2017-10108:BasicAttributeの逆シリアル化における無制限のメモリ割り当てを修正します(bsc#1049319)。
- CVE-2017-10109:CodeSourceの逆シリアル化における無制限のメモリ割り当てを修正します(bsc#1049320)。
- CVE-2017-10115:サブコンポーネントJCEにおける詳細不明な脆弱性を修正します(bsc#1049324)。
- CVE-2017-10118:ECDSA実装タイミングアタックを修正します(bsc#1049326)。
- CVE-2017-10116:非LDAP URLへの照会後のLDAPCertStoreを修正します(bsc#1049325)。
- CVE-2017-10135:PKCS#8実装タイミングアタックを修正します(bsc#1049328)。
- CVE-2017-10176:特定のECポイントの不適切な処理を修正します(bsc#1049329)。
- CVE-2017-10074:範囲チェックループ述部における整数オーバーフローを修正します(bsc#1049307)。
- CVE-2017-10074:範囲チェックループ述部における整数オーバーフローを修正します(bsc#1049307)。
- CVE-2017-10111:LambdaFormEditorにおけるチェックを修正します(bsc#1049322)。
- CVE-2017-10243:サブコンポーネントJAX-WSにおける詳細不明な脆弱性を修正します(bsc#1049332)。
- CVE-2017-10125:サブコンポーネントデプロイメントにおける詳細不明な脆弱性を修正します(bsc#1049327)。
- CVE-2017-10114:サブコンポーネントJavaFXにおける詳細不明な脆弱性を修正します(bsc#1049323)。
- CVE-2017-10105:サブコンポーネントデプロイメントにおける詳細不明な脆弱性を修正します(bsc#1049317)。
- CVE-2017-10086:サブコンポーネントJavaFXにおける詳細不明を修正します(bsc#1049310)。
- CVE-2017-10198:証明書のパス制限の不適切な施行を修正します(bsc#1049331)。
- CVE-2017-10193:不適切なキーサイズの制約チェックを修正します(bsc#1049330)。バグ修正:
- Exec Shieldが削除された、最近のカーネルでのクラッシュを修正するためExec Shieldの回避策をドロップします(bsc#1052318)。
注意:Tenable Network Securityは、前述の記述ブロックをSUSEセキュリティアドバイザリから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。
ソリューション
このSUSEセキュリティ更新プログラムをインストールするには、YaST online_updateを使用してください。別の方法として、製品にリストされているコマンドを実行することができます:
SUSE OpenStack Cloud 6:zypper in -t patch SUSE-OpenStack-Cloud-6-2018-6=1
SUSE Linux Enterprise Server for SAP 12-SP1:zypper in -t patch SUSE-SLE-SAP-12-SP1-2018-6=1
SUSE Linux Enterprise Server for SAP 12:zypper in -t patch SUSE-SLE-SAP-12-2018-6=1
SUSE Linux Enterprise Server for Raspberry Pi 12-SP2:zypper in -t patch SUSE-SLE-RPI-12-SP2-2018-6=1
SUSE Linux Enterprise Server 12-SP3:zypper in -t patch SUSE-SLE-SERVER-12-SP3-2018-6=1
SUSE Linux Enterprise Server 12-SP2:zypper in -t patch SUSE-SLE-SERVER-12-SP2-2018-6=1
SUSE Linux Enterprise Server 12-SP1-LTSS:zypper in -t patch SUSE-SLE-SERVER-12-SP1-2018-6=1
SUSE Linux Enterprise Server 12-LTSS:zypper in -t patch SUSE-SLE-SERVER-12-2018-6=1
SUSE Linux Enterprise Desktop 12-SP3:zypper in -t patch SUSE-SLE-DESKTOP-12-SP3-2018-6=1
SUSE Linux Enterprise Desktop 12-SP2:zypper in -t patch SUSE-SLE-DESKTOP-12-SP2-2018-6=1
お使いのシステムを最新の状態にするには、「zypper パッチ」を使用してください。
参考資料
https://bugzilla.suse.com/show_bug.cgi?id=1049305
https://bugzilla.suse.com/show_bug.cgi?id=1049306
https://bugzilla.suse.com/show_bug.cgi?id=1049307
https://bugzilla.suse.com/show_bug.cgi?id=1049309
https://bugzilla.suse.com/show_bug.cgi?id=1049310
https://bugzilla.suse.com/show_bug.cgi?id=1049311
https://bugzilla.suse.com/show_bug.cgi?id=1049312
https://bugzilla.suse.com/show_bug.cgi?id=1049313
https://bugzilla.suse.com/show_bug.cgi?id=1049314
https://bugzilla.suse.com/show_bug.cgi?id=1049315
https://bugzilla.suse.com/show_bug.cgi?id=1049316
https://bugzilla.suse.com/show_bug.cgi?id=1049317
https://bugzilla.suse.com/show_bug.cgi?id=1049318
https://bugzilla.suse.com/show_bug.cgi?id=1049319
https://bugzilla.suse.com/show_bug.cgi?id=1049320
https://bugzilla.suse.com/show_bug.cgi?id=1049321
https://bugzilla.suse.com/show_bug.cgi?id=1049322
https://bugzilla.suse.com/show_bug.cgi?id=1049323
https://bugzilla.suse.com/show_bug.cgi?id=1049324
https://bugzilla.suse.com/show_bug.cgi?id=1049325
https://bugzilla.suse.com/show_bug.cgi?id=1049326
https://bugzilla.suse.com/show_bug.cgi?id=1049327
https://bugzilla.suse.com/show_bug.cgi?id=1049328
https://bugzilla.suse.com/show_bug.cgi?id=1049329
https://bugzilla.suse.com/show_bug.cgi?id=1049330
https://bugzilla.suse.com/show_bug.cgi?id=1049331
https://bugzilla.suse.com/show_bug.cgi?id=1049332
https://bugzilla.suse.com/show_bug.cgi?id=1052318
https://bugzilla.suse.com/show_bug.cgi?id=1064071
https://bugzilla.suse.com/show_bug.cgi?id=1064072
https://bugzilla.suse.com/show_bug.cgi?id=1064073
https://bugzilla.suse.com/show_bug.cgi?id=1064075
https://bugzilla.suse.com/show_bug.cgi?id=1064077
https://bugzilla.suse.com/show_bug.cgi?id=1064078
https://bugzilla.suse.com/show_bug.cgi?id=1064079
https://bugzilla.suse.com/show_bug.cgi?id=1064080
https://bugzilla.suse.com/show_bug.cgi?id=1064081
https://bugzilla.suse.com/show_bug.cgi?id=1064082
https://bugzilla.suse.com/show_bug.cgi?id=1064083
https://bugzilla.suse.com/show_bug.cgi?id=1064084
https://bugzilla.suse.com/show_bug.cgi?id=1064085
https://bugzilla.suse.com/show_bug.cgi?id=1064086
https://www.suse.com/security/cve/CVE-2016-10165/
https://www.suse.com/security/cve/CVE-2016-9840/
https://www.suse.com/security/cve/CVE-2016-9841/
https://www.suse.com/security/cve/CVE-2016-9842/
https://www.suse.com/security/cve/CVE-2016-9843/
https://www.suse.com/security/cve/CVE-2017-10053/
https://www.suse.com/security/cve/CVE-2017-10067/
https://www.suse.com/security/cve/CVE-2017-10074/
https://www.suse.com/security/cve/CVE-2017-10081/
https://www.suse.com/security/cve/CVE-2017-10086/
https://www.suse.com/security/cve/CVE-2017-10087/
https://www.suse.com/security/cve/CVE-2017-10089/
https://www.suse.com/security/cve/CVE-2017-10090/
https://www.suse.com/security/cve/CVE-2017-10096/
https://www.suse.com/security/cve/CVE-2017-10101/
https://www.suse.com/security/cve/CVE-2017-10102/
https://www.suse.com/security/cve/CVE-2017-10105/
https://www.suse.com/security/cve/CVE-2017-10107/
https://www.suse.com/security/cve/CVE-2017-10108/
https://www.suse.com/security/cve/CVE-2017-10109/
https://www.suse.com/security/cve/CVE-2017-10110/
https://www.suse.com/security/cve/CVE-2017-10111/
https://www.suse.com/security/cve/CVE-2017-10114/
https://www.suse.com/security/cve/CVE-2017-10115/
https://www.suse.com/security/cve/CVE-2017-10116/
https://www.suse.com/security/cve/CVE-2017-10118/
https://www.suse.com/security/cve/CVE-2017-10125/
https://www.suse.com/security/cve/CVE-2017-10135/
https://www.suse.com/security/cve/CVE-2017-10176/
https://www.suse.com/security/cve/CVE-2017-10193/
https://www.suse.com/security/cve/CVE-2017-10198/
https://www.suse.com/security/cve/CVE-2017-10243/
https://www.suse.com/security/cve/CVE-2017-10274/
https://www.suse.com/security/cve/CVE-2017-10281/
https://www.suse.com/security/cve/CVE-2017-10285/
https://www.suse.com/security/cve/CVE-2017-10295/
https://www.suse.com/security/cve/CVE-2017-10345/
https://www.suse.com/security/cve/CVE-2017-10346/
https://www.suse.com/security/cve/CVE-2017-10347/
https://www.suse.com/security/cve/CVE-2017-10348/
https://www.suse.com/security/cve/CVE-2017-10349/
https://www.suse.com/security/cve/CVE-2017-10350/
https://www.suse.com/security/cve/CVE-2017-10355/
https://www.suse.com/security/cve/CVE-2017-10356/
https://www.suse.com/security/cve/CVE-2017-10357/
プラグインの詳細
深刻度: Critical
ID: 105538
ファイル名: suse_SU-2018-0005-1.nasl
バージョン: 3.5
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2018/1/4
更新日: 2019/9/10
サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: High
スコア: 7.3
CVSS v2
リスクファクター: High
Base Score: 7.5
Temporal Score: 5.9
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS v3
リスクファクター: Critical
Base Score: 9.8
Temporal Score: 8.8
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:novell:suse_linux:java-1_7_0-openjdk, p-cpe:/a:novell:suse_linux:java-1_7_0-openjdk-debuginfo, p-cpe:/a:novell:suse_linux:java-1_7_0-openjdk-debugsource, p-cpe:/a:novell:suse_linux:java-1_7_0-openjdk-demo, p-cpe:/a:novell:suse_linux:java-1_7_0-openjdk-demo-debuginfo, p-cpe:/a:novell:suse_linux:java-1_7_0-openjdk-devel, p-cpe:/a:novell:suse_linux:java-1_7_0-openjdk-devel-debuginfo, p-cpe:/a:novell:suse_linux:java-1_7_0-openjdk-headless, p-cpe:/a:novell:suse_linux:java-1_7_0-openjdk-headless-debuginfo, cpe:/o:novell:suse_linux:12
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2018/1/3
脆弱性公開日: 2017/2/3
参照情報
CVE: CVE-2016-10165, CVE-2016-9840, CVE-2016-9841, CVE-2016-9842, CVE-2016-9843, CVE-2017-10053, CVE-2017-10067, CVE-2017-10074, CVE-2017-10081, CVE-2017-10086, CVE-2017-10087, CVE-2017-10089, CVE-2017-10090, CVE-2017-10096, CVE-2017-10101, CVE-2017-10102, CVE-2017-10105, CVE-2017-10107, CVE-2017-10108, CVE-2017-10109, CVE-2017-10110, CVE-2017-10111, CVE-2017-10114, CVE-2017-10115, CVE-2017-10116, CVE-2017-10118, CVE-2017-10125, CVE-2017-10135, CVE-2017-10176, CVE-2017-10193, CVE-2017-10198, CVE-2017-10243, CVE-2017-10274, CVE-2017-10281, CVE-2017-10285, CVE-2017-10295, CVE-2017-10345, CVE-2017-10346, CVE-2017-10347, CVE-2017-10348, CVE-2017-10349, CVE-2017-10350, CVE-2017-10355, CVE-2017-10356, CVE-2017-10357, CVE-2017-10388