検出

Oracle Java SE 1.7.0_251/1.8.0_241/1.11.0_6/1.13.0_2の複数の脆弱性(2020年1月のCPU)

high Nessus プラグイン ID 132992

Language:

概要

リモートのWindowsホストに、複数の脆弱性の影響を受けるプログラミングプラットフォームが含まれています。

説明

The version of Oracle (formerly Sun) Java SE or Java for Business installed on the remote host is prior to 7 Update 251, 8 Update 241, 11 Update 6, or 13 Update 2. It is, therefore, affected by multiple vulnerabilities:

 - Oracle Java SE and Java SE Embedded are prone to a severe division by zero, over 'Multiple' protocol.
 This issue affects the 'SQLite' component.(CVE-2019-16168)

 - Oracle Java SE and Java SE Embedded are prone to format string vulnerability, leading to a read uninitialized stack data over 'Multiple' protocol. この問題は「libxst」コンポーネントに影響します。
 (CVE-2019-13117, CVE-2019-13118)

 - Oracle Java SE and Java SE Embedded are prone to a remote security vulnerability. 認証されていないリモートの攻撃者が、「Kerberos」プロトコルにわたってこれを悪用する可能性があります。この問題は「セキュリティ」コンポーネントに影響します。
 (CVE-2020-2601, CVE-2020-2590)

 - Oracle Java SE/Java SE Embedded are prone to a remote security vulnerability. 認証されていないリモートの攻撃者が、複数のプロトコルにわたってこれを悪用する可能性があります。この問題は「シリアル化」コンポーネントに影響します。
 (CVE-2020-2604, CVE-2020-2583)

 - Oracle Java SE/Java SE Embedded are prone to a remote security vulnerability. 認証されていないリモートの攻撃者が、複数のプロトコルにわたってこれを悪用する可能性があります。この問題は「ネットワーキング」コンポーネントに影響します。
 (CVE-2020-2593, CVE-2020-2659)

 - Oracle Java SE are prone to a remote security vulnerability. 認証されていないリモートの攻撃者が、複数のプロトコルにわたってこれを悪用する可能性があります。This issue affects the 'Libraries' component. (CVE-2020-2654)

 - Oracle Java SE are prone to a multiple security vulnerability. 認証されていないリモートの攻撃者が、複数のプロトコルにわたってこれを悪用する可能性があります。This issue affects the 'JavaFX' component. (CVE-2020-2585)

 - Oracle Java SE are prone to a multiple security vulnerability. 認証されていないリモートの攻撃者が、「HTTPS」プロトコルにわたってこれを悪用する可能性があります。この問題は「JSSE」コンポーネントに影響します。(CVE-2020-2655)

Nessusはこれらの問題のテストを行っておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

Oracle JDK/JRE 13 Update 2、11 Update 6、8 Update 241/7 Update 251以降にアップグレードしてください。必要に応じて、影響を受けるバージョンを削除してください。

参考資料

http://www.nessus.org/u?d22a1e87

プラグインの詳細

深刻度: High

ID: 132992

ファイル名: oracle_java_cpu_jan_2020.nasl

バージョン: 1.10

タイプ: local

エージェント: windows

ファミリー: Windows

公開日: 2020/1/16

更新日: 2022/10/21

設定: 徹底したチェックを有効にする

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Medium

基本値: 6.8

現状値: 5

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2020-2604

CVSS v3

リスクファクター: High

基本値: 8.1

現状値: 7.1

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:oracle:jre, cpe:/a:oracle:jdk

必要な KB アイテム: SMB/Java/JRE/Installed

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2020/1/14

脆弱性公開日: 2020/1/14

参照情報

CVE: CVE-2019-13117, CVE-2019-13118, CVE-2019-16168, CVE-2020-2583, CVE-2020-2585, CVE-2020-2590, CVE-2020-2593, CVE-2020-2601, CVE-2020-2604, CVE-2020-2654, CVE-2020-2655, CVE-2020-2659

BID: 109323

IAVA: 2020-A-0023-S