検出

Oracle Java SE 1.7.0_231/1.8.0_221/1.11.0_4/1.12.0_2の複数の脆弱性(2019年7月のCPU)

medium Nessus プラグイン ID 126821

Language:

概要

リモートのWindowsホストに、複数の脆弱性の影響を受けるプログラミングプラットフォームが含まれています。

説明

The version of Oracle (formerly Sun) Java SE or Java for Business installed on the remote host is prior to 7 Update 231, 8 Update 221, 11 Update 4, or 12 Update 2. It is, therefore, affected by multiple vulnerabilities:

 - Unspecified vulnerabilities in the utilities and JCE subcomponents of Oracle Java SE, which could allow an unauthenticated remote attacker to cause a partial denial of service. (CVE-2019-2762, CVE-2019-2769, CVE-2019-2842)

 - An unspecified vulnerability in the security subcomponent of Oracle Java SE, which could allow an unauthenticated local attacker to gain unauthorized access to critical Java SE data. (CVE-2019-2745)

 - Unspecified vulnerabilities in the networking and security subcomponents of Oracle Java SE, which could allow an unauthenticated remote attacker to gain unauthorized access to Java SE data. Exploitation of this vulnerability requires user interaction. (CVE-2019-2766, CVE-2019-2786, CVE-2019-2818)

 - An unspecified vulnerability in the networking subcomponent of Oracle Java SE, which could allow an unauthenticated remote attacker unauthorized read, update, insert or delete access to Java SE data. (CVE-2019-2816)

 - An unspecified vulnerability in the JSSE subcomponent of Oracle Java SE, which could allow an unauthenticated, remote attacker to gain unauthorized access to critical Java SE data. Exploitation of this vulnerability requires user interaction. (CVE-2019-2821)

 - A use after free vulnerability exists in the libpng subcomponent of Oracle Java SE. 認証されていないリモートの攻撃者がこれを悪用し、Java SEに完全なサービス拒否状態を引き起こす可能性があります。この脆弱性を悪用するには、ユーザーの関与が必要です。
 (CVE-2019-7317)

Nessusはこれらの問題のテストを行っておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

Oracle JDK/JRE 12は更新プログラム2、11は更新プログラム4、8は更新プログラム221、7は更新プログラム231以降にアップグレードしてください。必要に応じて、影響を受けるバージョンを削除してください。

参考資料

http://www.nessus.org/u?9aa2b901

プラグインの詳細

深刻度: Medium

ID: 126821

ファイル名: oracle_java_cpu_jul_2019.nasl

バージョン: 1.6

タイプ: local

エージェント: windows

ファミリー: Windows

公開日: 2019/7/19

更新日: 2024/5/9

設定: 徹底したチェックを有効にする

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.4

CVSS v2

リスクファクター: Medium

基本値: 5.8

現状値: 4.5

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N

CVSS スコアのソース: CVE-2019-2816

CVSS v3

リスクファクター: Medium

基本値: 5.3

現状値: 4.8

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:N/A:N

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

CVSS スコアのソース: CVE-2019-2821

脆弱性情報

CPE: cpe:/a:oracle:jre, cpe:/a:oracle:jdk

必要な KB アイテム: SMB/Java/JRE/Installed

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2019/7/16

脆弱性公開日: 2019/7/16

参照情報

CVE: CVE-2019-2745, CVE-2019-2762, CVE-2019-2766, CVE-2019-2769, CVE-2019-2786, CVE-2019-2816, CVE-2019-2818, CVE-2019-2821, CVE-2019-2842, CVE-2019-6129, CVE-2019-7317

BID: 108098, 109184, 109185, 109186, 109187, 109188, 109189, 109201, 109206, 109210, 109212

IAVA: 2019-A-0255