Oracle Java SEの複数の脆弱性(2018年10月CPU)
critical Nessus プラグイン ID 118228
Language:
概要
リモートのWindowsホストに、複数の脆弱性の影響を受けるプログラミングプラットフォームが含まれています。説明
リモートホストにインストールされているOracle(旧Sun)Java SEまたはJava for Businessのバージョンは、11は更新プログラム1、8は更新プログラム191、7は更新プログラム201、6は更新プログラム211より前です。したがって、次のコンポーネントに関連する複数の脆弱性の影響を受けます。- An unspecified vulnerability in the Java SE, Java SE Embedded component of Oracle Java SE in the Deployment (libpng) subcomponent could allow an unauthenticated, remote attacker with network access via HTTP to compromise Java SE, Java SE Embedded. (CVE-2018-13785)
- An unspecified vulnerability in the Java SE, Java SE Embedded component of Oracle Java SE in the Hotspot subcomponent could allow an unauthenticated, remote attacker with network access via multiple protocols to compromise Java SE, Java SE Embedded. (CVE-2018-3169)
- An unspecified vulnerability in the Java SE component of Oracle Java SE in the JavaFX subcomponent could allow an unauthenticated, remote attacker with network access via multiple protocols to compromise Java SE.
(CVE-2018-3209)
- An unspecified vulnerability in the Java SE, Java SE Embedded, JRockit component of Oracle Java SE in the JNDI subcomponent could allow an unauthenticated, remote attacker with network access via multiple protocols to compromise Java SE, Java SE Embedded, JRockit.
(CVE-2018-3149)
- An unspecified vulnerability in the Java SE, Java SE Embedded, JRockit component of Oracle Java SE in the JSSE subcomponent could allow an unauthenticated, remote attacker with network access via SSL/TLS to compromise Java SE, Java SE Embedded, JRockit.
(CVE-2018-3180)
- An unspecified vulnerability in the Java SE, Java SE Embedded component of Oracle Java SE in the Networking subcomponent could allow an unauthenticated, remote attacker with network access via multiple protocols to compromise Java SE, Java SE Embedded.
(CVE-2018-3139)
- An unspecified vulnerability in the Java SE, Java SE Embedded, JRockit component of Oracle Java SE in the Scripting subcomponent could allow an unauthenticated, remote attacker with network access via multiple protocols to compromise Java SE, Java SE Embedded, JRockit. (CVE-2018-3183)
- An unspecified vulnerability in the Java SE, Java SE Embedded component of Oracle Java SE in the Security subcomponent could allow an unauthenticated, remote attacker with network access via multiple protocols to compromise Java SE, Java SE Embedded. (CVE-2018-3136)
- An unspecified vulnerability in the Java SE, Java SE Embedded component of Oracle Java SE in the Serviceability subcomponent could allow a low privileged attacker with logon to the infrastructure where Java SE, Java SE Embedded executes to compromise Java SE, Java SE Embedded. (CVE-2018-3211)
- An unspecified vulnerability in the Java SE component of Oracle Java SE in the Sound subcomponent could allow an unauthenticated, remote attacker with network access via multiple protocols to compromise Java SE.
(CVE-2018-3157)
- An unspecified vulnerability in the Java SE component of Oracle Java SE in the Utility subcomponent could allow an unauthenticated, remote attacker with network access via multiple protocols to compromise Java SE.
(CVE-2018-3150)
追加情報については、該当するCVEのCVRFの詳細を参照してください。
Nessusはこれらの問題のテストを行っておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。
ソリューション
Oracle JDK/JRE 11は更新プログラム1、8は更新プログラム191、7は更新プログラム201、6は更新プログラム211以降にアップグレードしてください。必要に応じて、影響を受けるバージョンを削除してください。注意:JDK/JRE 6 Update 95以降を入手するには、Oracleの延長サポート契約が必要です。
参考資料
http://www.nessus.org/u?2fbcacca
http://www.nessus.org/u?de812f33
http://www.nessus.org/u?705136d8
プラグインの詳細
深刻度: Critical
ID: 118228
ファイル名: oracle_java_cpu_oct_2018.nasl
バージョン: 1.5
タイプ: local
エージェント: windows
ファミリー: Windows
公開日: 2018/10/19
更新日: 2022/4/11
設定: 徹底したチェックを有効にする
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: High
スコア: 7.3
CVSS v2
リスクファクター: Medium
基本値: 6.8
現状値: 5
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2018-3183
CVSS v3
リスクファクター: Critical
基本値: 9
現状値: 7.8
ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:oracle:jre, cpe:/a:oracle:jdk
必要な KB アイテム: SMB/Java/JRE/Installed
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2018/10/16
脆弱性公開日: 2018/10/16
参照情報
CVE: CVE-2018-13785, CVE-2018-3136, CVE-2018-3139, CVE-2018-3149, CVE-2018-3150, CVE-2018-3157, CVE-2018-3169, CVE-2018-3180, CVE-2018-3183, CVE-2018-3209, CVE-2018-3211, CVE-2018-3214
BID: 105587, 105590, 105591, 105595, 105597, 105599, 105601, 105602, 105608, 105615, 105617, 105622