Oracle Java SEの複数の脆弱性(2018年10月CPU)

critical Nessus プラグイン ID 118228

概要

リモートのWindowsホストに、複数の脆弱性の影響を受けるプログラミングプラットフォームが含まれています。

説明

リモートホストにインストールされているOracle(旧Sun)Java SEまたはJava for Businessのバージョンは、11は更新プログラム1、8は更新プログラム191、7は更新プログラム201、6は更新プログラム211より前です。したがって、次のコンポーネントに関連する複数の脆弱性による影響を受けます。- Deployment(libpng)サブコンポーネントにあるOracle Java SEのJava SE、Java SE Embeddedコンポーネントの詳細不明な脆弱性により、HTTP経由でネットワークにアクセスできる認証されていないリモートの攻撃者が、Java SE、Java SE Embeddedを侵害する可能性があります。(CVE-2018-13785)-HotspotサブコンポーネントにあるOracle Java SEのJava SE、Java SE Embeddedコンポーネントの詳細不明な脆弱性により、複数のプロトコル経由でネットワークにアクセスできる認証されていないリモートの攻撃者が、Java SE、Java SE Embeddedを侵害する可能性があります。(CVE-2018-3169)-JavaFXサブコンポーネントにあるOracle Java SEのJava SEコンポーネントの詳細不明な脆弱性により、複数のプロトコル経由でネットワークにアクセスできる認証されていないリモートの攻撃者が、Java SEを侵害する可能性があります。(CVE-2018-3209)-JNDIサブコンポーネントにあるOracle Java SEのJava SE、Java SE Embedded、JRockitコンポーネントの詳細不明な脆弱性により、複数のプロトコル経由でネットワークにアクセスできる認証されていないリモートの攻撃者が、Java SE、Java SE Embedded、JRockitを侵害する可能性があります。(CVE-2018-3149)-JSSEサブコンポーネントにあるOracle Java SEのJava SE、Java SE Embedded、JRockitコンポーネントの詳細不明な脆弱性により、SSL/TLS経由でネットワークにアクセスできる認証されていないリモートの攻撃者が、Java SE、Java SE Embedded、JRockitを侵害する可能性があります。(CVE-2018-3180)-NetworkingサブコンポーネントにあるOracle Java SEのJava SE、Java SE Embeddedコンポーネントの詳細不明な脆弱性により、複数のプロトコル経由でネットワークにアクセスできる認証されていないリモートの攻撃者が、Java SE、Java SE Embeddedを侵害する可能性があります。(CVE-2018-3139)-ScriptingサブコンポーネントにあるOracle Java SEのJava SE、Java SE Embedded、JRockitコンポーネントの詳細不明な脆弱性により、複数のプロトコル経由でネットワークにアクセスできる認証されていないリモートの攻撃者が、Java SE、Java SE Embedded、JRockitを侵害する可能性があります。(CVE-2018-3183)- SecurityサブコンポーネントにあるOracle Java SEのJava SE、Java SE Embeddedコンポーネントの詳細不明な脆弱性により、複数のプロトコル経由でネットワークにアクセスできる認証されていないリモートの攻撃者が、Java SE、Java SE Embeddedを侵害する可能性があります。(CVE-2018-3136)- Oracle Java SEのJava SE、Java SE Embeddedコンポーネントでは、Serviceabilityサブコンポーネントに詳細不明な脆弱性があるため、権限が低い攻撃者が、Java SE、Java SE Embeddedが実行されているインフラストラクチャにログオンし、Java SE、Java SE Embeddedを侵害する可能性があります。(CVE-2018-3211)- Oracle Java SEのJava SEコンポーネントでは、Soundサブコンポーネントに詳細不明な脆弱性があるため、複数のプロトコル経由でネットワークにアクセスできる認証されていないリモートの攻撃者が、Java SEを侵害する可能性があります。(CVE-2018-3157)- UtilityサブコンポーネントにあるOracle Java SEのJava SEコンポーネントの詳細不明な脆弱性により、複数のプロトコル経由でネットワークにアクセスできる認証されていないリモートの攻撃者が、Java SEを侵害する可能性があります。(CVE-2018-3150)追加情報については、該当するCVEのCVRFの詳細を参照してください。Nessusはこれらの問題のテストを行っておらず、その代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

Oracle JDK/JRE 11は更新プログラム1、8は更新プログラム191、7は更新プログラム201、6は更新プログラム211以降にアップグレードしてください。必要に応じて、影響を受けるバージョンを削除してください。注意:JDK/JRE 6 Update 95以降を入手するには、Oracleの延長サポート契約が必要です。

関連情報

http://www.nessus.org/u?705136d8

http://www.nessus.org/u?278f2590

http://www.nessus.org/u?adc8ef52

http://www.nessus.org/u?2fbcacca

http://www.nessus.org/u?de812f33

プラグインの詳細

深刻度: Critical

ID: 118228

ファイル名: oracle_java_cpu_oct_2018.nasl

バージョン: 1.5

タイプ: local

エージェント: windows

ファミリー: Windows

公開日: 2018/10/19

更新日: 2022/4/11

構成: 徹底的なチェックを有効にする

サポートされているセンサー: Nessus Agent

リスク情報

VPR

リスクファクター: High

スコア: 8.1

CVSS v2

リスクファクター: Medium

Base Score: 6.8

Temporal Score: 5

ベクトル: AV:N/AC:M/Au:N/C:P/I:P/A:P

現状ベクトル: E:U/RL:OF/RC:C

CVSS スコアのソース: CVE-2018-3183

CVSS v3

リスクファクター: Critical

Base Score: 9

Temporal Score: 7.8

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

現状ベクトル: E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:oracle:jre, cpe:/a:oracle:jdk

必要な KB アイテム: SMB/Java/JRE/Installed

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2018/10/16

脆弱性公開日: 2018/10/16

参照情報

CVE: CVE-2018-3136, CVE-2018-3139, CVE-2018-3149, CVE-2018-3150, CVE-2018-3157, CVE-2018-3169, CVE-2018-3180, CVE-2018-3183, CVE-2018-3209, CVE-2018-3211, CVE-2018-3214, CVE-2018-13785

BID: 105587, 105590, 105591, 105595, 105597, 105599, 105601, 105602, 105608, 105615, 105617, 105622