Amazon Linux 2：java-11-amazon-corretto（ALAS-2020-1387）

high Nessus プラグイン ID 133096

Language:

概要

リモートのAmazon Linux 2ホストに、セキュリティ更新プログラムがありません。

説明

Oracle Java SEのJava SE、Java SE Embedded製品の脆弱性（コンポーネント：セキュリティ）。サポートされているバージョンで影響を受けるのは、Java SE：7u241、8u231、11.0.5、13.0.1、Java SE Embedded：8u231です。悪用が難しい脆弱性ですが、認証されていない攻撃者がKerberosを介してネットワークにアクセスし、Java SE、Java SE Embeddedを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Java SE、Java SE Embeddedがアクセスできるデータの一部が、権限なしで更新、挿入、削除される可能性があります。注意：この脆弱性が該当するのは、通常サンドボックス化されたJava Web Startアプリケーションまたはサンドボックス化されたJavaアプレットを（Java SE 8で）実行しているクライアントで、信頼できないコード（インターネットからのコードなど）を読み込んで実行し、セキュリティについてはJavaサンドボックスに依存しているJavaデプロイメントです。この脆弱性は、指定されたコンポーネントでAPIを使用することによって（たとえばAPIにデータを提供するWebサービスを通して）悪用される可能性もあります。CVSS 3.0ベーススコア3.7（整合性への影響）CVSS Vector：（CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N）。（CVE-2020-2590）libxslt 1.1.33のnumbers.cでは、xsl:number命令のグループ化文字を保持するタイプが狭すぎるため、無効な文字/長さの組み合わせがxsltNumberFormatDecimalに渡され、初期化されていないスタックデータが読み取られる可能性がありました。（CVE-2019-13118）Oracle GraalVMのOracle GraalVM Enterprise Edition製品の脆弱性（コンポーネント：Java）。サポートされているバージョンで影響を受けるのは19.3.0.2です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、Oracle GraalVM Enterprise Editionを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Oracle GraalVM Enterprise Editionの乗っ取りが発生する可能性があります。注：19.3以降のGraalVM Enterpriseには、Java SE 8とJava SE 11の両方が含まれています。CVSS 3.0ベーススコア8.1（機密性、整合性、可用性への影響）CVSSベクトル：（CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H）。（CVE-2020-2604）Oracle Java SEのJava SE製品の脆弱性（コンポーネント：JavaFX）。サポートされているバージョンで影響を受けるのは、Java SE：8u231です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、Java SEを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、重要なデータやJava SEがアクセスできるすべてのデータが権限なしで作成、削除、変更される可能性があります。注意：この脆弱性が該当するのは、通常サンドボックス化されたJava Web Startアプリケーションまたはサンドボックス化されたJavaアプレットを（Java SE 8で）実行しているクライアントで、信頼できないコード（インターネットからのコードなど）を読み込んで実行し、セキュリティについてはJavaサンドボックスに依存しているJavaデプロイメントです。この脆弱性は、指定されたコンポーネントでAPIを使用することによって（たとえばAPIにデータを提供するWebサービスを通して）悪用される可能性もあります。CVSS 3.0ベーススコア5.9（整合性への影響）CVSSベクトル：（CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N）。（CVE-2020-2585）Oracle Java SEのJava SE製品の脆弱性（コンポーネント：ライブラリ）。サポートされているバージョンで影響を受けるのは、Java SE：7u241、8u231、11.0.5、13.0.1です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、Java SEを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Java SEの部分的なサービス拒否（部分的DOS）が権限なしで引き起こされる可能性があります。注意：この脆弱性は、信頼できないJava Web Startアプリケーションや信頼できないJavaアプレット（Webサービスなど）を使用しなくても、特定のコンポーネントのAPIにデータを提供するだけで悪用される可能性があります。CVSS 3.0ベーススコア3.7（可用性に影響）。CVSSベクトル：（CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L）（CVE-2020-2654）Oracle Java SEのJava SE、Java SE Embedded製品の脆弱性（コンポーネント：セキュリティ）。サポートされているバージョンで影響を受けるのは、Java SE：7u241、8u231、11.0.5、13.0.1、Java SE Embedded：8u231です。悪用が難しい脆弱性ですが、認証されていない攻撃者がKerberosを介してネットワークにアクセスし、Java SE、Java SE Embeddedを侵害する可能性があります。この脆弱性はJava SE、Java SE Embeddedにありますが、攻撃によってほかの製品にも大きな影響が出る可能性があります。この脆弱性による攻撃が成功すると、重要なデータに不正にアクセスしたり、Java SE、Java SE Embeddedがアクセスできるすべてのデータに完全にアクセスしたりできる可能性があります。注意：この脆弱性が該当するのは、通常サンドボックス化されたJava Web Startアプリケーションまたはサンドボックス化されたJavaアプレットを（Java SE 8で）実行しているクライアントで、信頼できないコード（インターネットからのコードなど）を読み込んで実行し、セキュリティについてはJavaサンドボックスに依存しているJavaデプロイメントです。この脆弱性は、指定されたコンポーネントでAPIを使用することによって（たとえばAPIにデータを提供するWebサービスを通して）悪用される可能性もあります。CVSS 3.0ベーススコア6.8（機密性に影響）。CVSSベクトル（CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:N/A:N）。（CVE-2020-2601）Oracle Java SEのJava SE製品の脆弱性（コンポーネント：JSSE）。サポートされているバージョンで影響を受けるのは、Java SE：11.0.5および13.0.1です。悪用が難しい脆弱性ですが、認証されていない攻撃者がHTTPSを使用してネットワークにアクセスし、Java SEを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なしでJava SEがアクセスできる一部のデータにアクセスして更新、挿入、削除されたり、さらにJava SEがアクセスできるデータのサブセットに権限なしでアクセスされ読み取られたりする可能性があります。注意：この脆弱性が該当するのは、通常サンドボックス化されたJava Web Startアプリケーションまたはサンドボックス化されたJavaアプレットを（Java SE 8で）実行しているクライアントで、信頼できないコード（インターネットからのコードなど）を読み込んで実行し、セキュリティについてはJavaサンドボックスに依存しているJavaデプロイメントです。この脆弱性は、指定されたコンポーネントでAPIを使用することによって（たとえばAPIにデータを提供するWebサービスを通して）悪用される可能性もあります。CVSS 3.0ベーススコア4.8（機密性と整合性への影響）CVSSベクトル：（CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N）。（CVE-2020-2655）3.29.0までのSQLiteにおいて、sqlite_stat1 szフィールドの検証が行われない（別名：クエリプランナーの深刻なゼロ除算）ため、sqlite3.cのwhereLoopAddBtreeIndexがブラウザーやその他のアプリケーションをクラッシュさせる可能性があります。（CVE-2019-16168）Oracle Java SEのJava SE、Java SE Embedded製品の脆弱性（コンポーネント：ネットワーキング）。サポートされているバージョンで影響を受けるのは、Java SE：7u241および8u231、Java SE Embedded：8u231です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE、Java SE Embeddedを侵害する可能性があります。この脆弱性への攻撃が成功すると、Java SEおよびJava SE Embeddedの部分的なサービス拒否（部分的DOS）が権限なしで引き起こされる可能性があります。注意：この脆弱性が該当するのは、通常サンドボックス化されたJava Web Startアプリケーションまたはサンドボックス化されたJavaアプレットを（Java SE 8で）実行しているクライアントで、信頼できないコード（インターネットからのコードなど）を読み込んで実行し、セキュリティについてはJavaサンドボックスに依存しているJavaデプロイメントです。この脆弱性は、指定されたコンポーネントでAPIを使用することによって（たとえばAPIにデータを提供するWebサービスを通して）悪用される可能性もあります。CVSS 3.0ベーススコア3.7（可用性に影響）。CVSSベクトル：（CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L）（CVE-2020-2659）libxslt 1.1.33のnumbers.cでは、特定のフォーマット文字列を含むxsl:numberにより、xsltNumberFormatInsertNumbersで初期化されない読み取りが発生する可能性があります。このため、攻撃者がスタック上のバイトに文字A、a、I、i、0、またはその他の文字が含まれているかどうかを判別する可能性があります。（CVE-2019-13117）Oracle Java SEのJava SE、Java SE Embedded製品の脆弱性（コンポーネント：シリアル化）。サポートされているバージョンで影響を受けるのは、Java SE：7u241、8u231、11.0.5、13.0.1、Java SE Embedded：8u231です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE、Java SE Embeddedを侵害する可能性があります。この脆弱性への攻撃が成功すると、Java SEおよびJava SE Embeddedの部分的なサービス拒否（部分的DOS）が権限なしで引き起こされる可能性があります。注意：この脆弱性が該当するのは、通常サンドボックス化されたJava Web Startアプリケーションまたはサンドボックス化されたJavaアプレットを（Java SE 8で）実行しているクライアントで、信頼できないコード（インターネットからのコードなど）を読み込んで実行し、セキュリティについてはJavaサンドボックスに依存しているJavaデプロイメントです。この脆弱性は、指定されたコンポーネントでAPIを使用することによって（たとえばAPIにデータを提供するWebサービスを通して）悪用される可能性もあります。CVSS 3.0ベーススコア3.7（可用性に影響）。CVSSベクトル：（CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L）（CVE-2020-2583）Oracle Java SEのJava SE、Java SE Embedded製品の脆弱性（コンポーネント：ネットワーキング）。サポートされているバージョンで影響を受けるのは、Java SE：7u241、8u231、11.0.5、13.0.1、Java SE Embedded：8u231です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE、Java SE Embeddedを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Java SE、Java SE Embeddedがアクセスできる一部のデータが権限なしで更新、挿入または削除され、Java SE、Java SE Embeddedがアクセスできるデータのサブセットへの権限のない読み取りアクセスが可能になります。注意：この脆弱性が該当するのは、通常サンドボックス化されたJava Web Startアプリケーションまたはサンドボックス化されたJavaアプレットを（Java SE 8で）実行しているクライアントで、信頼できないコード（インターネットからのコードなど）を読み込んで実行し、セキュリティについてはJavaサンドボックスに依存しているJavaデプロイメントです。この脆弱性は、指定されたコンポーネントでAPIを使用することによって（たとえばAPIにデータを提供するWebサービスを通して）悪用される可能性もあります。CVSS 3.0ベーススコア4.8（機密性と整合性への影響）CVSSベクトル：（CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N）。（CVE-2020-2593）

ソリューション

「yum update java-11-amazon-corretto」を実行してシステムを更新してください。

参考資料

https://alas.aws.amazon.com/AL2/ALAS-2020-1387.html

プラグインの詳細

深刻度: High

ID: 133096

ファイル名: al2_ALAS-2020-1387.nasl

バージョン: 1.3

タイプ: local

エージェント: unix

ファミリー: Amazon Linux Local Security Checks

公開日: 2020/1/21

更新日: 2020/1/24

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Medium

基本値: 6.8

現状値: 5

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2020-2604

CVSS v3

リスクファクター: High

基本値: 8.1

現状値: 7.1

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:amazon:linux:java-11-amazon-corretto, p-cpe:/a:amazon:linux:java-11-amazon-corretto-headless, p-cpe:/a:amazon:linux:java-11-amazon-corretto-javadoc, cpe:/o:amazon:linux:2

必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2020/1/17

脆弱性公開日: 2019/7/1

参照情報

CVE: CVE-2019-13117, CVE-2019-13118, CVE-2019-16168, CVE-2020-2583, CVE-2020-2585, CVE-2020-2590, CVE-2020-2593, CVE-2020-2601, CVE-2020-2604, CVE-2020-2654, CVE-2020-2655, CVE-2020-2659

ALAS: 2020-1387