RHEL 7:java-1.7.1-ibm(RHSA-2018:0458)

high Nessus プラグイン ID 107207

概要

リモートの Red Hat ホストに 1 つ以上の java-1.7.1-ibm 用セキュリティ更新プログラムがありません。

説明

リモート Redhat Enterprise Linux 7 ホストに、RHSA-2018:0458 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

IBM Java SE バージョン 7 リリース 1 には、IBM Java Runtime Environment と IBM Java ソフトウェア開発キットが含まれています。

この更新プログラムで、IBM Java SE 7がバージョン 7R1 SR4-FP20にアップグレードされます。

セキュリティ修正プログラム:

* OpenJDK: invokeinterface 命令の検証不足 (ホットスポット、8174962) (CVE-2018-2582)

* OpenJDK: LDAPCertStore の LDAP リファラルの不安定な処理 (JNDI、8186606) (CVE-2018-2633)

* OpenJDK: HTTP/SPNEGO へのグローバル資格情報の使用 (JGSS、8186600) (CVE-2018-2634)

* OpenJDK: SingleEntryRegistry の逆シリアル化フィルターの不適切な設定 (JMX、8186998) (CVE-2018-2637)

* OpenJDK: メモリ解放後使用 (Use After Free) をロードする GTK ライブラリ (AWT、8185325) (CVE-2018-2641)

* OpenJDK: LdapLoginModule の LDAP クエリでのユーザー名エンコーディング不足 (LDAP、8178449) (CVE-2018-2588)

* OpenJDK: DnsClient のソースポートランダム化の欠如 (JNDI、8182125) (CVE-2018-2599)

* OpenJDK: 信頼できない場所からのクラスの読み込み (I18n、8182601) (CVE-2018-2602)

* OpenJDK: DerValue の無制限メモリ割り当て (ライブラリ、8182387) (CVE-2018-2603)

* OpenJDK: 鍵合意の強度不足 (JCE、8185292) (CVE-2018-2618)

* Oracle JDK: 6u181 および 7u171 で修正された詳細不明な脆弱性 (シリアル化) (CVE-2018-2657)

* OpenJDK: 不整合状態への ArrayBlockingQueue の逆シリアル化 (ライブラリ、8189284) (CVE-2018-2663)

* OpenJDK: 逆シリアル化における無制限のメモリ割り当て (AWT、8190289) (CVE-2018-2677)

* OpenJDK: BasicAttributes 逆シリアル化の無制限メモリ割り当て (JNDI、8191142) (CVE-2018-2678)

* OpenJDK: 暗号化キーデータへの非同期のアクセス (ライブラリ、8172525) (CVE-2018-2579)

影響、CVSS スコア、その他の関連情報を含むセキュリティの問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

RHEL java-1.7.1-ibm パッケージを、RHSA-2018:0458 のガイダンスに基づいて更新してください。

参考資料

http://www.nessus.org/u?8b0bac74

https://access.redhat.com/errata/RHSA-2018:0458

https://access.redhat.com/security/updates/classification/#important

https://bugzilla.redhat.com/show_bug.cgi?id=1534263

https://bugzilla.redhat.com/show_bug.cgi?id=1534288

https://bugzilla.redhat.com/show_bug.cgi?id=1534296

https://bugzilla.redhat.com/show_bug.cgi?id=1534298

https://bugzilla.redhat.com/show_bug.cgi?id=1534299

https://bugzilla.redhat.com/show_bug.cgi?id=1534525

https://bugzilla.redhat.com/show_bug.cgi?id=1534543

https://bugzilla.redhat.com/show_bug.cgi?id=1534553

https://bugzilla.redhat.com/show_bug.cgi?id=1534762

https://bugzilla.redhat.com/show_bug.cgi?id=1534766

https://bugzilla.redhat.com/show_bug.cgi?id=1534768

https://bugzilla.redhat.com/show_bug.cgi?id=1534943

https://bugzilla.redhat.com/show_bug.cgi?id=1534970

https://bugzilla.redhat.com/show_bug.cgi?id=1535036

https://bugzilla.redhat.com/show_bug.cgi?id=1535353

プラグインの詳細

深刻度: High

ID: 107207

ファイル名: redhat-RHSA-2018-0458.nasl

バージョン: 1.8

タイプ: local

エージェント: unix

公開日: 2018/3/8

更新日: 2025/3/21

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.3

Vendor

Vendor Severity: Important

CVSS v2

リスクファクター: Medium

基本値: 6.8

現状値: 5

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2018-1417

CVSS v3

リスクファクター: High

基本値: 8.3

現状値: 7.2

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS スコアのソース: CVE-2018-2633

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:java-1.7.1-ibm-plugin, p-cpe:/a:redhat:enterprise_linux:java-1.7.1-ibm-jdbc, p-cpe:/a:redhat:enterprise_linux:java-1.7.1-ibm, cpe:/o:redhat:enterprise_linux:7, p-cpe:/a:redhat:enterprise_linux:java-1.7.1-ibm-devel, p-cpe:/a:redhat:enterprise_linux:java-1.7.1-ibm-src, p-cpe:/a:redhat:enterprise_linux:java-1.7.1-ibm-demo

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

パッチ公開日: 2018/3/7

脆弱性公開日: 2018/1/18

参照情報

CVE: CVE-2018-1417, CVE-2018-2579, CVE-2018-2582, CVE-2018-2588, CVE-2018-2599, CVE-2018-2602, CVE-2018-2603, CVE-2018-2618, CVE-2018-2633, CVE-2018-2634, CVE-2018-2637, CVE-2018-2641, CVE-2018-2657, CVE-2018-2663, CVE-2018-2677, CVE-2018-2678

CWE: 20, 284, 327, 330, 416, 426, 502, 567, 770, 90

RHSA: 2018:0458