概要
リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。
説明
リモートの SUSE Linux SLES11ホストには、SUSE-SU-2020:14398-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。
- Oracle Java SE の Java SE 製品の脆弱性 (コンポーネント: ライブラリ )。サポートされているバージョンで影響を受けるのは、Java SE: 7u241、8u231、11.0.5および 13.0.1です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、Java SE を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Java SE の部分的なサービス拒否 (部分的 DOS) が権限なしで引き起こされる可能性があります。注: この脆弱性は、信頼できない Java Web Start アプリケーションや信頼できない Java アプレットを、たとえば Web サービスを介して使用せずに、指定されたコンポーネントの API にデータを提供することでのみ悪用される可能性があります。CVSS 3.0ベーススコア3.7 (可用性に影響)。CVSS Vector:
(CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L ) 。 (CVE-2020-2654 )
- Oracle Java SEのJava SE、Java SE Embedded製品の脆弱性 (コンポーネント: Serialization)。
サポートされているバージョンで影響を受けるのは、Java SEです。7u251、8u241、 11.0.6 および14。 Java SE Embedded: 8u241。
悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE、Java SE Embedded を侵害する可能性があります。この脆弱性への攻撃が成功すると、Java SEおよびJava SE Embeddedの部分的なサービス拒否 (部分的DOS ) が権限なしで引き起こされる可能性があります。
注意: クライアントとサーバーへの Java のデプロイメントが対象です。この脆弱性は、サンドボックス化された Java Web Start アプリケーションと Java アプレットを通じて悪用される可能性があります。また、サンドボックス化されたJava Web Startアプリケーションやサンドボックス化されたJavaアプレットを、たとえばWebサービス経由で使用せずに、指定されたコンポーネントのAPIにデータを提供することでも悪用される可能性があります。CVSS 3.0ベーススコア 3.7(可用性に影響) CVSS Vector:
(CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L ) 。 (CVE-2020-2756、CVE-2020-2757 )
- Oracle Java SE の Java SE、Java SE Embedded 製品の脆弱性 (コンポーネント: JSSE)。サポートされているバージョンで影響を受けるのは、Java SEです。7u251、8u241、 11.0.6 および14。 Java SE Embedded: 8u241。容易に悪用可能な脆弱性を利用して、認証されていない攻撃者が HTTPS を介してネットワークにアクセスし、Java SE や Java SE Embedded を侵害する可能性があります。この脆弱性への攻撃が成功すると、Java SEおよびJava SE Embeddedの部分的なサービス拒否(部分的DOS)が権限なしで引き起こされる可能性があります。注意: クライアントとサーバーへの Java のデプロイメントが対象です。この脆弱性は、サンドボックス化された Java Web Start アプリケーションと Java アプレットを通じて悪用される可能性があります。また、サンドボックス化されたJava Web Startアプリケーションやサンドボックス化されたJavaアプレットを、たとえばWebサービス経由で使用せずに、指定されたコンポーネントのAPIにデータを提供することでも悪用される可能性があります。CVSS 3.0ベーススコア 5.3(可用性に影響) CVSS Vector:
(CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L ) 。 (CVE-2020-2781 )
- Oracle Java SEのJava SE、Java SE Embedded製品の脆弱性(コンポーネント: 軽量HTTPサーバー)。サポートされているバージョンで影響を受けるのは、Java SEです。7u251、8u241、 11.0.6 および14。 Java SE Embedded:
8u241。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE、Java SE Embedded を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Java SE、Java SE Embedded がアクセス可能な一部のデータが権限なしで更新、挿入または削除され、Java SE、Java SE Embedded がアクセス可能なデータサブセットへの権限のない読み取りアクセスが可能になる可能性があります。注意: この脆弱性は、信頼できないJava Web Startアプリケーションや信頼できないJavaアプレットを、たとえばWebサービスを介して使用せずに、指定されたコンポーネントのAPIにデータを提供することでのみ悪用される可能性があります。CVSS 3.0 ベーススコア 4.8(機密性と整合性への影響) CVSS Vector:
(CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N ) 。 (CVE-2020-2800 )
- Oracle Java SEのJava SE、Java SE Embedded製品の脆弱性 (コンポーネント: ライブラリ )。サポートされているバージョンで影響を受けるのは、Java SEです。7u251、8u241、 11.0.6 および14。 Java SE Embedded: 8u241。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE、Java SE Embedded を侵害する可能性があります。攻撃を成功させるには攻撃者以外の人間の関与が必要であり、脆弱性が存在するのはJava SE、Java SE Embeddedであるものの、攻撃が他の製品に大きな影響を与える可能性があります。この脆弱性に対する攻撃が成功すると、Java SEおよびJava SE Embeddedの乗っ取りが発生する可能性があります。注意: この脆弱性は、通常、サンドボックス化された Java Web Start アプリケーションまたはサンドボックス化された Java アプレットを実行しているクライアントで信頼できないコード (インターネットからのコードなど) を読み込んで実行し、セキュリティを Java サンドボックスに依存する Java デプロイメントが対象です。この脆弱性は、通常サーバーで信頼できるコード (管理者がインストールしたコードなど) のみを読み込んで実行するJavaデプロイメントを対象としていません。CVSS 3.0ベーススコア 8.3(機密性、整合性、可用性の影響) CVSS Vector : (CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H ) 。 (CVE-2020-2803、CVE-2020-2805 )
- Oracle Java SE の Java SE、Java SE Embedded 製品の脆弱性 (コンポーネント: 同時実行性)。
サポートされているバージョンで影響を受けるのは、Java SEです。7u251、8u241、 11.0.6 および14。 Java SE Embedded: 8u241。
容易に悪用可能な脆弱性を利用して、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SEやJava SE Embedded を侵害する可能性があります。この脆弱性への攻撃が成功すると、Java SEおよびJava SE Embeddedの部分的なサービス拒否(部分的DOS)が権限なしで引き起こされる可能性があります。
注意: クライアントとサーバーへの Java のデプロイメントが対象です。この脆弱性は、サンドボックス化された Java Web Start アプリケーションと Java アプレットを通じて悪用される可能性があります。また、サンドボックス化されたJava Web Startアプリケーションやサンドボックス化されたJavaアプレットを、たとえばWebサービス経由で使用せずに、指定されたコンポーネントのAPIにデータを提供することでも悪用される可能性があります。CVSS 3.0ベーススコア 5.3(可用性に影響) CVSS Vector:
(CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)。(CVE-2020-2830)
Nessus はこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。
ソリューション
影響を受けるパッケージを更新してください。
プラグインの詳細
ファイル名: suse_SU-2020-14398-1.nasl
エージェント: unix
サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N
ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:novell:suse_linux:java-1_7_1-ibm, p-cpe:/a:novell:suse_linux:java-1_7_1-ibm-alsa, p-cpe:/a:novell:suse_linux:java-1_7_1-ibm-devel, p-cpe:/a:novell:suse_linux:java-1_7_1-ibm-jdbc, p-cpe:/a:novell:suse_linux:java-1_7_1-ibm-plugin, cpe:/o:novell:suse_linux:11
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトの容易さ: No known exploits are available