概要
リモートのUnixホストに、複数の脆弱性の影響を受けるプログラミングプラットフォームが含まれています。
説明
リモートホストにインストールされているOracle(旧Sun)Java SEまたはJava for Businessのバージョンは、11は更新プログラム1、8は更新プログラム191、7は更新プログラム201、6は更新プログラム211より前です。したがって、複数の脆弱性による影響を受けます:-Oracle Java SEのJava SE Embeddedコンポーネントでは、Deployment(libpng)サブコンポーネントに詳細不明な脆弱性があるため、HTTP経由でネットワークにアクセスできる認証されていないリモートの攻撃者が、Java SEを侵害する可能性があります。(CVE-2018-13785)-Oracle Java SEのJava SE Embeddedコンポーネントでは、Hotspotサブコンポーネントに詳細不明な脆弱性があるため、ネットワークにアクセスできる認証されていないリモートの攻撃者が複数のプロトコル経由でJava SEを侵害する可能性があります。(CVE-2018-3169)-Oracle Java SEのJava SEコンポーネントでは、JavaFXサブコンポーネントに詳細不明な脆弱性があるため、ネットワークにアクセスできる認証されていないリモートの攻撃者が複数のプロトコル経由でJava SEを侵害する可能性があります。(CVE-2018-3209)-Oracle Java SEのJava SE、Java SE Embedded、JRockitコンポーネントでは、JNDIサブコンポーネントに詳細不明な脆弱性があるため、複数のプロトコル経由でネットワークにアクセスできる認証されていないリモートの攻撃者が、Java SE、Java SE Embedded、JRockitを侵害する可能性があります。(CVE-2018-3149)-Oracle Java SEのJava SE、Java SE Embedded、JRockitコンポーネントでは、JSSEサブコンポーネントに詳細不明な脆弱性があるため、SSL/TLS経由でネットワークにアクセスできる認証されていないリモートの攻撃者が、Java SE、Java SE Embedded、JRockitを侵害する可能性があります。(CVE-2018-3180)-Oracle Java SEのJava SE、Java SE Embeddedコンポーネントでは、Networkingサブコンポーネントに詳細不明な脆弱性があるため、複数のプロトコル経由でネットワークにアクセスできる認証されていないリモートの攻撃者が、Java SE、Java SE Embeddedを侵害する可能性があります。(CVE-2018-3139)-Oracle Java SEのJava SE、Java SE Embedded、JRockitコンポーネントでは、Scriptingサブコンポーネントに詳細不明な脆弱性があるため、複数のプロトコル経由でネットワークにアクセスできる認証されていないリモートの攻撃者が、Java SE、Java SE Embedded、JRockitを侵害する可能性があります。(CVE-2018-3183)- Oracle Java SEのJava SE、Java SE Embeddedコンポーネントでは、Securityサブコンポーネントに詳細不明な脆弱性があるため、複数のプロトコル経由でネットワークにアクセスできる認証されていないリモートの攻撃者が、Java SE、Java SE Embeddedを侵害する可能性があります。(CVE-2018-3136)- Oracle Java SEのJava SE、Java SE Embeddedコンポーネントでは、Serviceabilityサブコンポーネントに詳細不明な脆弱性があるため、権限が低い攻撃者が、Java SE、Java SE Embeddedが実行されているインフラストラクチャにログオンし、Java SE、Java SE Embeddedを侵害する可能性があります。(CVE-2018-3211)- Oracle Java SEのJava SEコンポーネントでは、Soundサブコンポーネントに詳細不明な脆弱性があるため、複数のプロトコル経由でネットワークにアクセスできる認証されていないリモートの攻撃者が、Java SEを侵害する可能性があります。(CVE-2018-3157)- Oracle Java SEのJava SEコンポーネントでは、Utilityサブコンポーネントに詳細不明な脆弱性があるため、複数のプロトコル経由でネットワークにアクセスできる認証されていないリモートの攻撃者が、Java SEを侵害する可能性があります。(CVE-2018-3150)Nessusはこれらの問題をテストしていませんが、その代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。
ソリューション
Oracle JDK/JRE 11は更新プログラム1、8は更新プログラム191、7は更新プログラム201、6は更新プログラム211以降にアップグレードしてください。必要に応じて、影響を受けるバージョンを削除してください。注意:JDK/JRE 6 Update 95以降を入手するには、Oracleの延長サポート契約が必要です。
プラグインの詳細
ファイル名: oracle_java_cpu_oct_2018_unix.nasl
エージェント: unix
設定: 徹底したチェックを有効にする
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:oracle:jre, cpe:/a:oracle:jdk
必要な KB アイテム: installed_sw/Java
エクスプロイトの容易さ: No known exploits are available
参照情報
CVE: CVE-2018-13785, CVE-2018-3136, CVE-2018-3139, CVE-2018-3149, CVE-2018-3150, CVE-2018-3157, CVE-2018-3169, CVE-2018-3180, CVE-2018-3183, CVE-2018-3209, CVE-2018-3211, CVE-2018-3214
BID: 105587, 105590, 105591, 105595, 105597, 105599, 105601, 105602, 105608, 105615, 105617, 105622