Oracle Java SE 1.7.0_251/1.8.0_241/1.11.0_6/1.13.0_2の複数の脆弱性(2020年1月のCPU)

high Nessus プラグイン ID 132992

概要

リモートのUnixホストに、複数の脆弱性の影響を受けるプログラミングプラットフォームがあります。

説明

リモートホストにインストールされているOracle(以前のSun)Java SEまたはJava for Businessのバージョンは、7 Update 251より前、8 Update 241、11 Update 6、または13 Update 2です。したがって、複数の脆弱性の影響を受けます。- Oracle Java SEおよびJava SE Embeddedは、「複数の」プロトコルにわたって深刻なゼロ除算の影響を受けます。この問題は「SQLite」コンポーネントに影響します。(CVE-2019-16168)- Oracle Java SEおよびJava SE Embeddedは書式文字列の脆弱性の影響を受け、初期化されていないスタックデータを「複数の」プロトコルにわたって読み取る可能性があります。この問題は「libxst」コンポーネントに影響します。(CVE-2019-13117、CVE-2019-13118)- Oracle Java SEおよびJava SE Embeddedはリモートセキュリティの脆弱性の影響を受けます。認証されていないリモートの攻撃者が、「Kerberos」プロトコルにわたってこれを悪用する可能性があります。この問題は「セキュリティ」コンポーネントに影響します。(CVE-2020-2601、CVE-2020-2590)- Oracle Java SE/Java SE Embeddedはリモートセキュリティの脆弱性の影響を受けます。認証されていないリモートの攻撃者が、複数のプロトコルにわたってこれを悪用する可能性があります。この問題は「シリアル化」コンポーネントに影響します。(CVE-2020-2604、CVE-2020-2583)- Oracle Java SE/Java SE Embeddedはリモートセキュリティの脆弱性の影響を受けます。認証されていないリモートの攻撃者が、複数のプロトコルにわたってこれを悪用する可能性があります。この問題は「ネットワーキング」コンポーネントに影響します。(CVE-2020-2593、CVE-2020-2659)- Oracle Java SEはリモートセキュリティの脆弱性の影響を受けます。認証されていないリモートの攻撃者が、複数のプロトコルにわたってこれを悪用する可能性があります。この問題は「ライブラリ」コンポーネントに影響します。(CVE-2020-2654)- Oracle Java SEは複数セキュリティの脆弱性の影響を受けます。認証されていないリモートの攻撃者が、複数のプロトコルにわたってこれを悪用する可能性があります。この問題は「JavaFX」コンポーネントに影響します。(CVE-2020-2585)- Oracle Java SEは複数セキュリティの脆弱性の影響を受けます。認証されていないリモートの攻撃者が、「HTTPS」プロトコルにわたってこれを悪用する可能性があります。この問題は「JSSE」コンポーネントに影響します。(CVE-2020-2655)Nessusはこれらの問題のテストを行っておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

Oracle JDK/JRE 13 Update 2、11 Update 6、8 Update 241/7 Update 251以降にアップグレードしてください。必要に応じて、影響を受けるバージョンを削除してください。

関連情報

http://www.nessus.org/u?d22a1e87

プラグインの詳細

深刻度: High

ID: 132992

ファイル名: oracle_java_cpu_jan_2020.nasl

バージョン: 1.9

タイプ: local

エージェント: windows

ファミリー: Windows

公開日: 2020/1/16

更新日: 2022/4/11

構成: 徹底的なチェックを有効にする

サポートされているセンサー: Nessus Agent

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Medium

Base Score: 6.8

Temporal Score: 5

ベクトル: AV:N/AC:M/Au:N/C:P/I:P/A:P

現状ベクトル: E:U/RL:OF/RC:C

CVSS スコアのソース: CVE-2020-2604

CVSS v3

リスクファクター: High

Base Score: 8.1

Temporal Score: 7.1

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:oracle:jre, cpe:/a:oracle:jdk

必要な KB アイテム: SMB/Java/JRE/Installed

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2020/1/14

脆弱性公開日: 2020/1/14

参照情報

CVE: CVE-2019-13117, CVE-2019-13118, CVE-2019-16168, CVE-2020-2583, CVE-2020-2585, CVE-2020-2590, CVE-2020-2593, CVE-2020-2601, CVE-2020-2604, CVE-2020-2654, CVE-2020-2655, CVE-2020-2659

BID: 109323