検出

Amazon Linux AMI:java-1.7.0-openjdk(ALAS-2018-974)

high Nessus プラグイン ID 108599

Language:

概要

リモートのAmazon Linux AMIホストに、セキュリティ更新プログラムがありません。

説明

DerValueにおける無制限メモリ割り当て:OpenJDKのライブラリコンポーネントが、DERでコード化された入力を読み取るときに、割り当てられるメモリの量を十分に制限できないことがわかりました。DERでコード化された攻撃者による入力を解析した場合、リモートの攻撃者がこの欠陥を使用して、Javaアプリケーションに過度のメモリを使用させる可能性があります。(CVE-2018-2603)暗号化キーデータへの非同期のアクセス。OpenJDKのライブラリコンポーネントの複数の暗号化キークラスが、内部データへのアクセスを適切に同期していないことがわかりました。これにより、ゼロアウトされたキーを使用するため、マルチスレッドのJavaアプリケーションが弱い暗号化をデータに適用する可能性があります。(CVE-2018-2579)HTTP/SPNEGO用グローバル資格情報の使用。OpenJDKのJGSSコンポーネントは、HTTP/SPNEGO認証を使用するとき、javax.security.auth.useSubjectCredsOnlyプロパティの値を無視し、常にグローバル資格情報を使用します。これにより、信頼できないJavaアプリケーションがグローバルな資格情報を予期せず使用する可能性があることが発見されました。(CVE-2018-2634)信頼できない場所からのクラスの読み込み:OpenJDKのI18nコンポーネントが、リソースバンドルクラスを読み込むときに、信頼できない検索パスを使用する可能性があることがわかりました。ローカルの攻撃者がこの欠陥を使用して、Javaアプリケーションに攻撃者が制御するクラスファイルを読み込ませることで別のローカルユーザーとして任意のコードを実行する可能性があります。(CVE-2018-2602)GTKライブラリのメモリ解放後使用(Use After Free)の読み込み:Oracle Java SEのJava SE、Java SE Embeddedコンポーネントの脆弱性(サブコンポーネント:AWT)。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE、Java SE Embeddedを侵害する可能性があります。攻撃を成功させるには攻撃者以外の人間の関与が必要であり、脆弱性が存在するのはJava SE、Java SE Embeddedであるものの、攻撃が他の製品に大きな影響を与える可能性があります。この脆弱性に対する攻撃が成功すると、重要なデータやJava SE、Java SE Embeddedがアクセスできるすべてのデータが権限なしで作成、削除、変更される可能性があります。注意:この脆弱性は、通常、サンドボックス化されたJava Web Startアプリケーションまたはサンドボックス化されたJavaアプレットを実行しているクライアントで信頼できないコード(インターネットからのコードなど)を読み込んで実行し、セキュリティをJavaサンドボックスに依存するJavaデプロイメントが対象です。この脆弱性は、通常サーバーで信頼できるコード(管理者がインストールしたコードなど)のみを読み込んで実行するJavaデプロイメントには存在しません。(CVE-2018-2641)LdapLoginModuleによるLDAPクエリでの不十分なユーザー名のコード化:OpenJDKのLDAPコンポーネントが、LDAP検索クエリに特殊文字を追加するときに、ユーザー名の特殊文字を適切にコード化できないことがわかりました。リモートの攻撃者がこの欠陥を使用して、LdapLoginModuleクラスが実行するLDAPクエリを操作する可能性があります。(CVE-2018-2588)SingleEntryRegistry逆シリアル化フィルターの不適切な設定:OpenJDKのJMXコンポーネントが特定の場合にSingleEntryRegistryの逆シリアル化フィルターを正しく設定できないことがわかりました。リモートの攻撃者がこの欠陥を使用して、目的の逆シリアル化制限をバイパスする可能性があります。(CVE-2018-2637)キー合意の不十分な強度:OpenJDKのJCEコンポーネントにおけるキーの合意の実装が、生成された共有秘密を適切に保護するために使用されるキーの強度が十分であることを保証できないことがわかりました。これにより、ネゴシエート済みの秘密を使用し暗号化ではなく、鍵合意を攻撃することで暗号化されたデータがさらに簡単に解読される可能性があります。(CVE-2018-2618)GSSコンテキストのメモリ解放後使用(Use After Free):OpenJDKのJGSSコンポーネントが、特定の場合にネイティブGSSライブラリラッパーのGSSコンテキストを適切に処理しないことがわかりました。リモートの攻撃者がJGSSを使用してJavaアプリケーションを作成し、以前に解放されたコンテキストを使用する可能性があります。(CVE-2018-2629)LDAPCertStore LDAP照会の安全性の低い処理:OpenJDKのJNDIコンポーネントのLDAPCertStoreクラスがLDAP照会を安全に処理できないことがわかりました。攻撃者がこの欠陥を使用して、攻撃者が制御する証明書データを取得する可能性があります。(CVE-2018-2633)DnsClientの送信元ポートのランダム化の欠如:OpenJDKのJNDIコンポーネントでのDNSクライアントの実装が、DNSクエリを送信するときにランダムな送信元ポートを使用しないことがわかりました。これにより、リモートの攻撃者がクエリへの応答を偽装することが容易になる可能性があります。(CVE-2018-2599)BasicAttributesの逆シリアル化における無制限のメモリ割り当て:Oracle Java SEのJava SE、Java SE Embedded、JRockitコンポーネントの脆弱性(サブコンポーネント:JNDI)。容易に悪用可能な脆弱性を使用して、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE、Java SE Embedded、JRockitを侵害する可能性があります。この攻撃が成功するには、攻撃者以外の人物の関与が必要です。この脆弱性に対する攻撃が成功すると、Java SE、Java SE Embedded、JRockitの部分的なサービス拒否(部分的DOS)が権限なしで引き起こされる可能性があります。注意:この脆弱性は、クライアントとサーバーへのJavaの配置が対象です。この脆弱性は、サンドボックス化されたJava Web StartアプリケーションとJavaアプレットを通じて悪用される可能性があります。また、サンドボックス化されたJava Web Startアプリケーションやサンドボックス化されたJavaアプレット(Webサービスなど)を使用せずに、指定されたコンポーネントのAPIにデータを提供することでも悪用されます。(CVE-2018-2678)不整合状態へのArrayBlockingQueueの逆シリアル化:Oracle Java SEのJava SE、Java SE Embedded、JRockitコンポーネントの脆弱性(サブコンポーネント:ライブラリ)。容易に悪用可能な脆弱性を使用して、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE、Java SE Embedded、JRockitを侵害する可能性があります。この攻撃が成功するには、攻撃者以外の人物の関与が必要です。この脆弱性に対する攻撃が成功すると、Java SE、Java SE Embedded、JRockitの部分的なサービス拒否(部分的DOS)が権限なしで引き起こされる可能性があります。注意:この脆弱性は、クライアントとサーバーへのJavaの配置が対象です。この脆弱性は、サンドボックス化されたJava Web StartアプリケーションとJavaアプレットを通じて悪用される可能性があります。また、サンドボックス化されたJava Web Startアプリケーションやサンドボックス化されたJavaアプレット(Webサービスなど)を使用せずに、指定されたコンポーネントのAPIにデータを提供することでも悪用されます。(CVE-2018-2663)逆シリアル化における無制限のメモリ割り当て:Oracle Java SEのJava SE、Java SE Embeddedコンポーネントの脆弱性(サブコンポーネント:AWT)。容易に悪用可能な脆弱性を使用して、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SEやJava SE Embeddedを侵害する可能性があります。この攻撃が成功するには、攻撃者以外の人物の関与が必要です。この脆弱性への攻撃が成功すると、Java SEやJava SE Embeddedの部分的なサービス拒否(部分的DOS)が権限なしで引き起こされる可能性があります。注意:この脆弱性は、通常、サンドボックス化されたJava Web Startアプリケーションまたはサンドボックス化されたJavaアプレットを実行しているクライアントで信頼できないコード(インターネットからのコードなど)を読み込んで実行し、セキュリティをJavaサンドボックスに依存するJavaデプロイメントが対象です。この脆弱性は、通常サーバーで信頼できるコード(管理者がインストールしたコードなど)のみを読み込んで実行するJavaデプロイメントには存在しません。(CVE-2018-2677)

ソリューション

「yum update java-1.7.0-openjdk」を実行してシステムを更新してください。

参考資料

https://alas.aws.amazon.com/ALAS-2018-974.html

プラグインの詳細

深刻度: High

ID: 108599

ファイル名: ala_ALAS-2018-974.nasl

バージョン: 1.3

タイプ: local

エージェント: unix

公開日: 2018/3/27

更新日: 2019/7/10

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.3

CVSS v2

リスクファクター: Medium

基本値: 5.8

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:P

CVSS v3

リスクファクター: High

基本値: 8.3

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H

脆弱性情報

CPE: p-cpe:/a:amazon:linux:java-1.7.0-openjdk, p-cpe:/a:amazon:linux:java-1.7.0-openjdk-debuginfo, p-cpe:/a:amazon:linux:java-1.7.0-openjdk-demo, p-cpe:/a:amazon:linux:java-1.7.0-openjdk-devel, p-cpe:/a:amazon:linux:java-1.7.0-openjdk-javadoc, p-cpe:/a:amazon:linux:java-1.7.0-openjdk-src, cpe:/o:amazon:linux

必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

パッチ公開日: 2018/3/23

脆弱性公開日: 2018/1/18

参照情報

CVE: CVE-2018-2579, CVE-2018-2588, CVE-2018-2599, CVE-2018-2602, CVE-2018-2603, CVE-2018-2618, CVE-2018-2629, CVE-2018-2633, CVE-2018-2634, CVE-2018-2637, CVE-2018-2641, CVE-2018-2663, CVE-2018-2677, CVE-2018-2678

ALAS: 2018-974