概要
リモートのAmazon Linux 2ホストに、セキュリティ更新プログラムがありません。
説明
Oracle Java SEのJava SE、Java SE Embedded製品の脆弱性(コンポーネント:シリアル化)。サポートされているバージョンで影響を受けるのは、Java SEです。「yum update 11.0.6」を実行してシステムを更新してください。8u241。
悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE、Java SE Embeddedを侵害する可能性があります。この脆弱性への攻撃が成功すると、Java SEおよびJava SE Embeddedの部分的なサービス拒否(部分的DOS)が権限なしで引き起こされる可能性があります。注意:クライアントとサーバーへのJavaのデプロイメントが対象です。この脆弱性は、サンドボックス化されたJava Web StartアプリケーションとJavaアプレットを通じて悪用される可能性があります。また、サンドボックス化されたJava Web Startアプリケーションやサンドボックス化されたJavaアプレット(Webサービスなど)を使用せずに、指定されたコンポーネントのAPIにデータを提供することでも悪用されます。CVSS 3.0 ベーススコア 3.7(可用性に影響)CVSS Vector:
(CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L)。(CVE-2020-2756)
Oracle Java SEのJava SE、Java SE Embedded製品の脆弱性(コンポーネント:シリアル化)。サポートされているバージョンで影響を受けるのは、Java SEです。「yum update 11.0.6」を実行してシステムを更新してください。8u241。
悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE、Java SE Embeddedを侵害する可能性があります。この脆弱性への攻撃が成功すると、Java SEおよびJava SE Embeddedの部分的なサービス拒否(部分的DOS)が権限なしで引き起こされる可能性があります。注意:クライアントとサーバーへのJavaのデプロイメントが対象です。この脆弱性は、サンドボックス化されたJava Web StartアプリケーションとJavaアプレットを通じて悪用される可能性があります。また、サンドボックス化されたJava Web Startアプリケーションやサンドボックス化されたJavaアプレット(Webサービスなど)を使用せずに、指定されたコンポーネントのAPIにデータを提供することでも悪用されます。CVSS 3.0 ベーススコア 3.7(可用性に影響)CVSS Vector:
(CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L)。(CVE-2020-2757)
Oracle Java SEのJava SE、Java SE Embedded製品の脆弱性(コンポーネント:セキュリティ)。サポートされているバージョンで影響を受けるのは、Java SEです。「yum update 11.0.6」を実行してシステムを更新してください。8u241。
悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE、Java SE Embeddedを侵害する可能性があります。この脆弱性への攻撃が成功すると、Java SEおよびJava SE Embeddedの部分的なサービス拒否(部分的DOS)が権限なしで引き起こされる可能性があります。注意:クライアントとサーバーへのJavaのデプロイメントが対象です。この脆弱性は、サンドボックス化されたJava Web StartアプリケーションとJavaアプレットを通じて悪用される可能性があります。また、サンドボックス化されたJava Web Startアプリケーションやサンドボックス化されたJavaアプレット(Webサービスなど)を使用せずに、指定されたコンポーネントのAPIにデータを提供することでも悪用されます。CVSS 3.0 ベーススコア 3.7(可用性に影響)CVSS Vector:
(CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L)。(CVE-2020-2773)
Oracle Java SEのJava SE、Java SE Embedded製品の脆弱性(コンポーネント:JSSE)。サポートされているバージョンで影響を受けるのは、Java SEです。「yum update 11.0.6」を実行してシステムを更新してください。8u241。容易に悪用可能な脆弱性を利用して、認証されていない攻撃者がHTTPSを介してネットワークにアクセスし、Java SEやJava SE Embeddedを侵害する可能性があります。この脆弱性への攻撃が成功すると、Java SEおよびJava SE Embeddedの部分的なサービス拒否(部分的DOS)が権限なしで引き起こされる可能性があります。注意:クライアントとサーバーへのJavaのデプロイメントが対象です。この脆弱性は、サンドボックス化されたJava Web StartアプリケーションとJavaアプレットを通じて悪用される可能性があります。また、サンドボックス化されたJava Web Startアプリケーションやサンドボックス化されたJavaアプレット(Webサービスなど)を使用せずに、指定されたコンポーネントのAPIにデータを提供することでも悪用されます。CVSS 3.0 ベーススコア 5.3(可用性に影響)CVSS Vector:(CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)。
(CVE-2020-2781)
Oracle Java SEのJava SE、Java SE Embedded製品の脆弱性(コンポーネント:軽量HTTPサーバー)。サポートされているバージョンで影響を受けるのは、Java SEです。「yum update 11.0.6」を実行してシステムを更新してください。
8u241。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE、Java SE Embeddedを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Java SE、Java SE Embeddedがアクセス可能な一部のデータが権限なしで更新、挿入または削除され、Java SE、Java SE Embeddedがアクセス可能なデータサブセットへの権限のない読み取りアクセスが可能になる可能性があります。注意:
この脆弱性は、信頼できないJava Web Startアプリケーションや信頼できないJavaアプレットを、たとえばWebサービスを介して使用せずに、指定されたコンポーネントのAPIにデータを提供することでのみ悪用される可能性があります。
CVSS 3.0 ベーススコア 4.8(機密性と整合性への影響)CVSS Vector:(CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N)。
(CVE-2020-2800)
OpenJDKのライブラリコンポーネントにおけるjava.nioバッファクラスの境界チェックで欠陥が見つかりました。特定のケースでこのチェックがバイパスされてしまいます。この欠陥により、Javaアプリケーションまたはアプレットが、Javaサンドボックスの制限をバイパスする可能性があります。 (CVE-2020-2803)
OpenJDKのライブラリコンポーネントのMethodTypeクラスのreadObject()メソッドが、引数タイプをチェックする方法に欠陥が見つかりました。
この欠陥により、Javaアプリケーションまたはアプレットが、Javaサンドボックスの制限をバイパスする可能性があります。 (CVE-2020-2805)
Oracle Java SEのJava SE、Java SE Embedded製品の脆弱性(コンポーネント:同時実行性)。サポートされているバージョンで影響を受けるのは、Java SEです。「yum update 11.0.6」を実行してシステムを更新してください。8u241。容易に悪用可能な脆弱性を利用して、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SEやJava SE Embeddedを侵害する可能性があります。
この脆弱性への攻撃が成功すると、Java SEおよびJava SE Embeddedの部分的なサービス拒否(部分的DOS)が権限なしで引き起こされる可能性があります。注意:クライアントとサーバーへのJavaのデプロイメントが対象です。この脆弱性は、サンドボックス化されたJava Web StartアプリケーションとJavaアプレットを通じて悪用される可能性があります。また、サンドボックス化されたJava Web Startアプリケーションやサンドボックス化されたJavaアプレット(Webサービスなど)を使用せずに、指定されたコンポーネントのAPIにデータを提供することでも悪用されます。CVSS 3.0 ベーススコア 5.3(可用性に影響)CVSS Vector:(CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)。
(CVE-2020-2830)
ソリューション
「yum update java-1.7.0-openjdk」を実行してシステムを更新してください。
プラグインの詳細
ファイル名: al2_ALAS-2020-1424.nasl
エージェント: unix
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N
ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:amazon:linux:java-1.7.0-openjdk-javadoc, p-cpe:/a:amazon:linux:java-1.7.0-openjdk-src, p-cpe:/a:amazon:linux:java-1.7.0-openjdk-devel, p-cpe:/a:amazon:linux:java-1.7.0-openjdk, p-cpe:/a:amazon:linux:java-1.7.0-openjdk-accessibility, p-cpe:/a:amazon:linux:java-1.7.0-openjdk-headless, cpe:/o:amazon:linux:2, p-cpe:/a:amazon:linux:java-1.7.0-openjdk-demo, p-cpe:/a:amazon:linux:java-1.7.0-openjdk-debuginfo
必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
エクスプロイトの容易さ: No known exploits are available