検出

FreeBSD: payara -- 複数の脆弱性(d70c9e18-f340-11e8-be46-0019dbb15b3f)

critical Nessus プラグイン ID 119274

Language:

概要

リモートのFreeBSDホストに、セキュリティ関連の更新プログラムがありません。

説明

1.3.3DiskFileItemファイル操作のリモートコード実行前のApache Commons FileUpload。

Oracle Fusion MiddlewareのOracle GlassFish Serverコンポーネントの脆弱性(サブコンポーネント: 管理)。サポートされているバージョンで影響を受けるのは、3.0.1および3.1.2です。簡単に悪用可能な脆弱性によって、権限の低い攻撃者が、Oracle GlassFish Serverが実行されているインフラストラクチャにログオンし、Oracle GlassFish Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Oracle GlassFish Serverがアクセスできるサブセットのデータが、権限なしで読み取りアクセスされる可能性があります。CVSS v3.0ベーススコア3.3 (機密性への影響)。

Oracle Fusion MiddlewareのOracle GlassFish Serverコンポーネントの脆弱性(サブコンポーネント: Core)。サポートされているバージョンで影響を受けるのは、2.1.1、3.0.1、3.1.2です。容易に悪用できる脆弱性により、認証されていない攻撃者がSMTPを介してネットワークにアクセスし、Oracle GlassFish Serverを侵害する可能性があります。この攻撃が成功するには、攻撃者以外の人物の関与が必要です。この脆弱性に対する攻撃が成功すると、Oracle GlassFish Serverがアクセスできるいくつかのデータが、権限なしで更新、挿入または削除される可能性があります。CVSS v3.0ベーススコア4.3 (整合性への影響)。

Oracle Fusion MiddlewareのOracle GlassFish Serverコンポーネントの脆弱性(サブコンポーネント: セキュリティ)。サポートされているバージョンで影響を受けるのは、2.1.1、3.0.1、3.1.2です。容易に悪用可能な脆弱性により、認証されていない攻撃者がLDAPを介してネットワークにアクセスし、Oracle GlassFish Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、一部のOracle GlassFish Serverのアクセス可能データに対する権限のない更新アクセス、挿入アクセス、削除アクセス、さらに、Oracle GlassFish Serverのアクセス可能データのサブセットに対する権限のない読み取りアクセスにつながり、権限なくOracle GlassFish Serverの部分的サービス拒否(部分的DOS)を引き起こす可能性があります。CVSS v3.0ベーススコア7.3(機密性、整合性、可用性への影響)。

Oracle Fusion MiddlewareのOracle GlassFish Serverコンポーネントの脆弱性(サブコンポーネント: セキュリティ)。サポートされているバージョンで影響を受けるのは、2.1.1、3.0.1、3.1.2です。容易に悪用可能な脆弱性により、認証されていない攻撃者がHTTPを介してネットワークにアクセスし、Oracle GlassFish Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、一部のOracle GlassFish Serverのアクセス可能データに対する権限のない更新アクセス、挿入アクセス、削除アクセス、さらに、Oracle GlassFish Serverのアクセス可能データのサブセットに対する権限のない読み取りアクセスにつながり、権限なくOracle GlassFish Serverの部分的サービス拒否(部分的DOS)を引き起こす可能性があります。CVSS v3.0ベーススコア7.3(機密性、整合性、可用性への影響)。

Oracle Fusion MiddlewareのOracle GlassFish Serverコンポーネントの脆弱性(サブコンポーネント: セキュリティ)。サポートされているバージョンで影響を受けるのは、2.1.1、3.0.1、3.1.2です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、Oracle GlassFish Serverを侵害する可能性があります。脆弱性があるのはOracle GlassFish Serverですが、攻撃により別の製品にも重大な影響を与える可能性があります。この脆弱性に対する攻撃が成功すると、Oracle GlassFish Serverの乗っ取りが発生する可能性があります。CVSS v3.0ベーススコア9.0(機密性、整合性、可用性への影響)。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

http://www.nessus.org/u?c8055159

https://www.tenable.com/security/research/tra-2016-12

プラグインの詳細

深刻度: Critical

ID: 119274

ファイル名: freebsd_pkg_d70c9e18f34011e8be460019dbb15b3f.nasl

バージョン: 1.7

タイプ: local

公開日: 2018/11/29

更新日: 2022/12/6

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.3

CVSS v2

リスクファクター: High

Base Score: 7.5

Temporal Score: 5.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2017-3250

CVSS v3

リスクファクター: Critical

Base Score: 9.8

Temporal Score: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:freebsd:freebsd:payara, cpe:/o:freebsd:freebsd

必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2018/11/28

脆弱性公開日: 2016/6/16

参照情報

CVE: CVE-2016-1000031, CVE-2016-5528, CVE-2017-3239, CVE-2017-3247, CVE-2017-3249, CVE-2017-3250