SUSE SLES12セキュリティ更新プログラム:java-1_6_0-ibm(SUSE-SU-2014:1541-1)(POODLE)
low Nessus プラグイン ID 119959
Language:
概要
リモートのSUSEホストに1つ以上のセキュリティ更新がありません。説明
java-1_6_0-ibmは、18のセキュリティの問題を修正するバージョン1.6.0_sr16.2に更新します。これらのセキュリティの問題が修正されました:
Oracle Java SE 6u81での詳細不明な脆弱性(CVE-2014-3065)。
- 1.0.1iまでのOpenSSLやその他の製品で使用されるSSLプロトコル3.0は、非決定性のCBCパディングを使用します。これにより、中間者攻撃の攻撃者が、パディングオラクル攻撃、つまり「POODLE」問題(CVE-2014-3566)を通じて平文データを取得しやすくなります。
- Oracle Java SE 6u81、7u67 および 8u20、ならびにJava SE Embedded 7u60の未特定の脆弱性により、リモートの攻撃者は、AWT(CVE-2014-6513)に関連するベクトルを通じて、機密性、整合性および可用性に影響を与えることができます。
- Oracle Java SE 6u81、7u67および8u20の未特定の脆弱性により、リモートの攻撃者は、Deploymentに関連する未知のベクトルを通じて、機密性、整合性および可用性に影響を与えることができます。これは、CVE-2014-4288、CVE-2014-6493、CVE-2014-6532(CVE-2014-6503)とは異なる脆弱性です。
- Oracle Java SE 6u81、7u67および8u20の未特定の脆弱性により、リモートの攻撃者は、Deploymentに関連する未知のベクトルを通じて、機密性、整合性および可用性に影響を与えることができます。これは、CVE-2014-4288、CVE-2014-6493、CVE-2014-6503(CVE-2014-6532)とは異なる脆弱性です。
- Oracle Java SE 6u81、7u67および8u20の未特定の脆弱性により、リモートの攻撃者は、Deploymentに関連する未知のベクトルを通じて、機密性、整合性および可用性に影響を与えることができます。これは、CVE-2014-6493、CVE-2014-6503、CVE-2014-6532(CVE-2014-4288)とは異なる脆弱性です。
- Oracle Java SE 6u81、7u67および8u20の未特定の脆弱性により、リモートの攻撃者は、Deploymentに関連する未知のベクトルを通じて、機密性、整合性および可用性に影響を与えることができます。これは、CVE-2014-4288、CVE-2014-6503、CVE-2014-6532(CVE-2014-6493)とは異なる脆弱性です。
- Oracle Java SE 6u81、7u67および8u20の未特定の脆弱性により、 Firefox上で実行している際、リモートの攻撃者は、 Deployment(CVE-2014-6492)に関連する未知のベクトルを通じて、機密性、整合性および可用性に影響を与えることができます。
- Oracle Java SE 6u81、7u67および8u20の未特定の脆弱性により、ローカルユーザーは、Deployment(CVE-2014-6458)に関連する未知のベクトルを通じて、機密性、整合性および可用性に影響を与えることができます。
- Oracle Java SE 6u81、7u67および8u20の未特定の脆弱性により、 Internet Explorer上で実行している際、ローカルユーザーは、Deployment(CVE-2014-6466)に関連する未知のベクトルを通じて、機密性、整合性および可用性に影響を与えることができます。
- Oracle Java SE 5.0u71、6u81、7u67および8u20、ならびにJava SE Embedded 7u60の未特定の脆弱性により、リモートの攻撃者は、Libraries(CVE-2014-6506)に関連する未知のベクトルを通じて、機密性、整合性および可用性に影響を与えることができます。
- Oracle Java SE 6u81、7u67および8u20の未特定の脆弱性により、リモートの攻撃者は、Deployment(CVE-2014-6515)に関連する未知のベクトルを通じて、整合性に影響を与えることができます。
- Oracle Java SE 5.0u71、6u81、7u67および8u20の未特定の脆弱性により、リモートの攻撃者は、2D(CVE-2014-6511)に関連する未知のベクトルを通じて、機密性に影響を与えることができます。
- Oracle Java SE 5.0u71、6u81、7u67および8u20、ならびにJava SE Embedded 7u60の未特定の脆弱性により、リモートの攻撃者は、Libraries(CVE-2014-6531)に関連する未知のベクトルを通じて、機密性に影響を与えることができます。
- Oracle Java SE 5.0u71、6u81、7u67および8u20、ならびにJava SE Embedded 7u60、JRockit R27.8.3 およびR28.3.3 の未特定の脆弱性により、リモートの攻撃者は、Libraries(CVE-2014-6512)に関連する未知のベクトルを通じて、整合性に影響を与えることができます。
- Oracle Java SE 5.0u71、6u81、7u67および8u20、ならびにJava SE Embedded 7u60、JRockit R27.8.3 およびR28.3.3 の未特定の脆弱性により、リモートの攻撃者は、JSSE(CVE-2014-6457)に関連するベクトルを通じて、機密性および整合性に影響を与えることができます。
- Oracle Java SE 5.0u71、6u81、7u67および8u20、ならびにJava SE Embedded 7u60の未特定の脆弱性により、リモートの攻撃者は、Libraries(CVE-2014-6502)に関連する未知のベクトルを通じて、整合性に影響を与えることができます。
- Oracle Java SE 5.0u71、6u81、7u67および8u20、ならびにJava SE Embedded 7u60、JRockit R27.8.3 および JRockit .R283.3 の未特定の脆弱性により、リモートの攻撃者は、 Security(CVE-2014-6558)に関連する未知のベクトルを通じて、整合性に影響を与えることができます。
詳細については、http://www.ibm.com/developerworks/java/jdk/alerts/#IBM_Security_Updateを参照してください。
_Nove mber_2014
注意:Tenable Network Securityは、前述の記述ブロックをSUSEセキュリティアドバイザリから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。
ソリューション
この SUSE セキュリティ更新をインストールするには、YaST online_update を使用してください。別の方法として、製品にリストされているコマンドを実行することができます:
Legacy Software 12 向け SUSE Linux Enterprise Module:
zypper in -t patch SUSE-SLE-Module-Legacy-12-2014-93
お使いのシステムを最新の状態にするには、「zypper パッチ」を使用してください。
参考資料
http://www.nessus.org/u?ecb047de
https://bugzilla.suse.com/show_bug.cgi?id=901223
https://bugzilla.suse.com/show_bug.cgi?id=901239
https://bugzilla.suse.com/show_bug.cgi?id=904889
https://www.suse.com/security/cve/CVE-2014-3065/
https://www.suse.com/security/cve/CVE-2014-3566/
https://www.suse.com/security/cve/CVE-2014-4288/
https://www.suse.com/security/cve/CVE-2014-6457/
https://www.suse.com/security/cve/CVE-2014-6458/
https://www.suse.com/security/cve/CVE-2014-6466/
https://www.suse.com/security/cve/CVE-2014-6492/
https://www.suse.com/security/cve/CVE-2014-6493/
https://www.suse.com/security/cve/CVE-2014-6502/
https://www.suse.com/security/cve/CVE-2014-6503/
https://www.suse.com/security/cve/CVE-2014-6506/
https://www.suse.com/security/cve/CVE-2014-6511/
https://www.suse.com/security/cve/CVE-2014-6512/
https://www.suse.com/security/cve/CVE-2014-6513/
https://www.suse.com/security/cve/CVE-2014-6515/
https://www.suse.com/security/cve/CVE-2014-6531/
https://www.suse.com/security/cve/CVE-2014-6532/
プラグインの詳細
深刻度: Low
ID: 119959
ファイル名: suse_SU-2014-1541-1.nasl
バージョン: 1.7
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2019/1/2
更新日: 2022/1/27
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Critical
スコア: 9.8
CVSS v2
リスクファクター: Critical
基本値: 10
現状値: 8.7
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2014-6513
CVSS v3
リスクファクター: Low
基本値: 3.4
現状値: 3.3
ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:N/A:N
現状ベクトル: CVSS:3.0/E:H/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:novell:suse_linux:java-1_6_0-ibm, p-cpe:/a:novell:suse_linux:java-1_6_0-ibm-fonts, p-cpe:/a:novell:suse_linux:java-1_6_0-ibm-jdbc, p-cpe:/a:novell:suse_linux:java-1_6_0-ibm-plugin, cpe:/o:novell:suse_linux:12
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2014/12/2
脆弱性公開日: 2014/10/15
参照情報
CVE: CVE-2014-3065, CVE-2014-3566, CVE-2014-4288, CVE-2014-6457, CVE-2014-6458, CVE-2014-6466, CVE-2014-6492, CVE-2014-6493, CVE-2014-6502, CVE-2014-6503, CVE-2014-6506, CVE-2014-6511, CVE-2014-6512, CVE-2014-6513, CVE-2014-6515, CVE-2014-6531, CVE-2014-6532, CVE-2014-6558
BID: 70456, 70460, 70468, 70470, 70484, 70507, 70518, 70533, 70538, 70544, 70548, 70556, 70565, 70567, 70569, 70572, 70574, 71147