SUSE SLES12セキュリティ更新プログラム:java-11-openjdk(SUSE-SU-2020:1572-1)

high Nessus プラグイン ID 137601

Language:

概要

リモートのSUSEホストに1つ以上のセキュリティ更新がありません。

説明

このjava-11-openjdkの更新では、次の問題を修正します:

Javaが jdk-11.0.7+10に更新しました(2020年4月CPU、bsc#1169511)。

修正されたセキュリティ問題:

CVE-2020-2754:サービス拒否につながる可能性のある正規表現の不正な処理を修正しました(bsc#1169511)。

CVE-2020-2755:サービス拒否につながる可能性のある正規表現の不正な処理を修正しました(bsc#1169511)。

CVE-2020-2756:サービス拒否につながる可能性のある正規表現の不正な処理を修正しました(bsc#1169511)。

CVE-2020-2757:細工されたシリアル化入力を介したサービス拒否につながる可能性のある、オブジェクトの逆シリアル化の問題を修正しました(bsc#1169511)。

CVE-2020-2767:TLSハンドシェイク中の証明書メッセージの不適切な処理を修正しました(bsc#1169511)。

CVE-2020-2773:unmarshalKeyInfo()とunmarshalXMLSignature()によってスローされた例外の不適切な処理を修正しました(bsc#1169511)。

CVE-2020-2778:setAlgorithmConstraints()内のSSLParametersの不適切な処理を修正しました。これが悪用されると、定義済みのシステムセキュリティポリシーがオーバーライドされ、脆弱な暗号アルゴリズムが使用される可能性がありました(bsc#1169511)。

CVE-2020-2781:単一のnull TLSセッションの不適切な再利用を修正しました(bsc#1169511)。

CVE-2020-2800:ヘッダー値内のCR/LFの不適切な処理によって引き起こされるHTTPヘッダーインジェクションの問題を修正しました(bsc#1169511)。

CVE-2020-2803:サンドボックスのバイパスにつながる可能性のある境界チェックと型チェックの問題を修正しました(bsc#1169511)。

CVE-2020-2805:サンドボックスのバイパスにつながる可能性のある境界チェックと型チェックの問題を修正しました(bsc#1169511)。

CVE-2020-2816:TLSハンドシェイク中のアプリケーションデータパケットの不正な処理を修正しました(bsc#1169511)。

CVE-2020-2830:サービス拒否につながる可能性のある正規表現の不正な処理を修正しました(bsc#1169511)。

注意:Tenable Network Securityは、前述の記述ブロックをSUSEセキュリティアドバイザリから直接抽出しています。Tenableでは、そこに新しい問題を追加することはせずに、できる限り自動的に整理と書式設定をするようにしています。

ソリューション

このSUSEセキュリティ更新プログラムをインストールするには、YaSTのonline_updateや「zypper patch」など、SUSEが推奨するインストール方法を使用してください。

別の方法として、製品にリストされているコマンドを実行することができます:

SUSE Linux Enterprise Server 12-SP5:

zypper in -t patch SUSE-SLE-SERVER-12-SP5-2020-1572=1

参考資料

https://bugzilla.suse.com/show_bug.cgi?id=1167462

https://bugzilla.suse.com/show_bug.cgi?id=1169511

https://www.suse.com/security/cve/CVE-2020-2754/

https://www.suse.com/security/cve/CVE-2020-2755/

https://www.suse.com/security/cve/CVE-2020-2756/

https://www.suse.com/security/cve/CVE-2020-2757/

https://www.suse.com/security/cve/CVE-2020-2767/

https://www.suse.com/security/cve/CVE-2020-2773/

https://www.suse.com/security/cve/CVE-2020-2778/

https://www.suse.com/security/cve/CVE-2020-2781/

https://www.suse.com/security/cve/CVE-2020-2800/

https://www.suse.com/security/cve/CVE-2020-2803/

https://www.suse.com/security/cve/CVE-2020-2805/

https://www.suse.com/security/cve/CVE-2020-2816/

https://www.suse.com/security/cve/CVE-2020-2830/

http://www.nessus.org/u?289b8758

プラグインの詳細

深刻度: High

ID: 137601

ファイル名: suse_SU-2020-1572-1.nasl

バージョン: 1.3

タイプ: local

エージェント: unix

公開日: 2020/6/18

更新日: 2022/5/13

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.3

CVSS v2

リスクファクター: Medium

Base Score: 5.8

Temporal Score: 4.3

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N

CVSS スコアのソース: CVE-2020-2800

CVSS v3

リスクファクター: High

Base Score: 8.3

Temporal Score: 7.2

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS スコアのソース: CVE-2020-2805

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:java-11-openjdk, p-cpe:/a:novell:suse_linux:java-11-openjdk-debuginfo, p-cpe:/a:novell:suse_linux:java-11-openjdk-debugsource, p-cpe:/a:novell:suse_linux:java-11-openjdk-demo, p-cpe:/a:novell:suse_linux:java-11-openjdk-devel, p-cpe:/a:novell:suse_linux:java-11-openjdk-headless, cpe:/o:novell:suse_linux:12

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2020/6/9

脆弱性公開日: 2020/4/15

参照情報

CVE: CVE-2020-2754, CVE-2020-2755, CVE-2020-2756, CVE-2020-2757, CVE-2020-2767, CVE-2020-2773, CVE-2020-2778, CVE-2020-2781, CVE-2020-2800, CVE-2020-2803, CVE-2020-2805, CVE-2020-2816, CVE-2020-2830