検出

Oracle Java SEの複数の脆弱性(2018年10月のCPU)(UNIX)

critical Nessus プラグイン ID 118227

Language:

概要

リモートのUnixホストに、複数の脆弱性の影響を受けるプログラミングプラットフォームが含まれています。

説明

リモートホストにインストールされているOracle(旧Sun)Java SEまたはJava for Businessのバージョンは、11は更新プログラム1、8は更新プログラム191、7は更新プログラム201、6は更新プログラム211より前です。したがって、複数の脆弱性による影響を受けます:-Oracle Java SEのJava SE Embeddedコンポーネントでは、Deployment(libpng)サブコンポーネントに詳細不明な脆弱性があるため、HTTP経由でネットワークにアクセスできる認証されていないリモートの攻撃者が、Java SEを侵害する可能性があります。(CVE-2018-13785)-Oracle Java SEのJava SE Embeddedコンポーネントでは、Hotspotサブコンポーネントに詳細不明な脆弱性があるため、ネットワークにアクセスできる認証されていないリモートの攻撃者が複数のプロトコル経由でJava SEを侵害する可能性があります。(CVE-2018-3169)-Oracle Java SEのJava SEコンポーネントでは、JavaFXサブコンポーネントに詳細不明な脆弱性があるため、ネットワークにアクセスできる認証されていないリモートの攻撃者が複数のプロトコル経由でJava SEを侵害する可能性があります。(CVE-2018-3209)-Oracle Java SEのJava SE、Java SE Embedded、JRockitコンポーネントでは、JNDIサブコンポーネントに詳細不明な脆弱性があるため、複数のプロトコル経由でネットワークにアクセスできる認証されていないリモートの攻撃者が、Java SE、Java SE Embedded、JRockitを侵害する可能性があります。(CVE-2018-3149)-Oracle Java SEのJava SE、Java SE Embedded、JRockitコンポーネントでは、JSSEサブコンポーネントに詳細不明な脆弱性があるため、SSL/TLS経由でネットワークにアクセスできる認証されていないリモートの攻撃者が、Java SE、Java SE Embedded、JRockitを侵害する可能性があります。(CVE-2018-3180)-Oracle Java SEのJava SE、Java SE Embeddedコンポーネントでは、Networkingサブコンポーネントに詳細不明な脆弱性があるため、複数のプロトコル経由でネットワークにアクセスできる認証されていないリモートの攻撃者が、Java SE、Java SE Embeddedを侵害する可能性があります。(CVE-2018-3139)-Oracle Java SEのJava SE、Java SE Embedded、JRockitコンポーネントでは、Scriptingサブコンポーネントに詳細不明な脆弱性があるため、複数のプロトコル経由でネットワークにアクセスできる認証されていないリモートの攻撃者が、Java SE、Java SE Embedded、JRockitを侵害する可能性があります。(CVE-2018-3183)- Oracle Java SEのJava SE、Java SE Embeddedコンポーネントでは、Securityサブコンポーネントに詳細不明な脆弱性があるため、複数のプロトコル経由でネットワークにアクセスできる認証されていないリモートの攻撃者が、Java SE、Java SE Embeddedを侵害する可能性があります。(CVE-2018-3136)- Oracle Java SEのJava SE、Java SE Embeddedコンポーネントでは、Serviceabilityサブコンポーネントに詳細不明な脆弱性があるため、権限が低い攻撃者が、Java SE、Java SE Embeddedが実行されているインフラストラクチャにログオンし、Java SE、Java SE Embeddedを侵害する可能性があります。(CVE-2018-3211)- Oracle Java SEのJava SEコンポーネントでは、Soundサブコンポーネントに詳細不明な脆弱性があるため、複数のプロトコル経由でネットワークにアクセスできる認証されていないリモートの攻撃者が、Java SEを侵害する可能性があります。(CVE-2018-3157)- Oracle Java SEのJava SEコンポーネントでは、Utilityサブコンポーネントに詳細不明な脆弱性があるため、複数のプロトコル経由でネットワークにアクセスできる認証されていないリモートの攻撃者が、Java SEを侵害する可能性があります。(CVE-2018-3150)Nessusはこれらの問題をテストしていませんが、その代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

Oracle JDK/JRE 11は更新プログラム1、8は更新プログラム191、7は更新プログラム201、6は更新プログラム211以降にアップグレードしてください。必要に応じて、影響を受けるバージョンを削除してください。注意:JDK/JRE 6 Update 95以降を入手するには、Oracleの延長サポート契約が必要です。

参考資料

http://www.nessus.org/u?705136d8

http://www.nessus.org/u?278f2590

http://www.nessus.org/u?adc8ef52

http://www.nessus.org/u?2fbcacca

http://www.nessus.org/u?de812f33

プラグインの詳細

深刻度: Critical

ID: 118227

ファイル名: oracle_java_cpu_oct_2018_unix.nasl

バージョン: 1.7

タイプ: local

エージェント: unix

ファミリー: Misc.

公開日: 2018/10/19

更新日: 2024/4/19

設定: 徹底したチェックを有効にする

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.3

CVSS v2

リスクファクター: Medium

基本値: 6.8

現状値: 5

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2018-3183

CVSS v3

リスクファクター: Critical

基本値: 9

現状値: 7.8

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:oracle:jre, cpe:/a:oracle:jdk

必要な KB アイテム: installed_sw/Java

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2018/10/16

脆弱性公開日: 2018/10/16

参照情報

CVE: CVE-2018-13785, CVE-2018-3136, CVE-2018-3139, CVE-2018-3149, CVE-2018-3150, CVE-2018-3157, CVE-2018-3169, CVE-2018-3180, CVE-2018-3183, CVE-2018-3209, CVE-2018-3211, CVE-2018-3214

BID: 105587, 105590, 105591, 105595, 105597, 105599, 105601, 105602, 105608, 105615, 105617, 105622