検出

OpenJDK 7 <= 7u291 / 8 <= 8u282 / 11.0.0 <= 11.0.10 / 13.0.0 <= 13.0.6 / 15.0.0 <= 15.0.2 / 16.0.0 複数の脆弱性(2021年4月20日)

medium Nessus プラグイン ID 151207

Language:

概要

OpenJDKは複数の脆弱性の影響を受けます。

説明

リモートホストにインストールされているOpenJDKは、7 <= 7u291 / 8 <= 8u282 / 11.0.0 <= 11.0.10 / 13.0.0 <= 13.0.6 / 15.0.0 <= 15.0.2 / 16.0.0より前です。したがって、2021年4月20日のアドバイザリに記載されている複数の脆弱性の影響を受けます。

- Oracle Java SEのJava SE、Java SE Embedded、Oracle GraalVM Enterprise Edition製品の脆弱性(コンポーネント:ライブラリ)。サポートされているバージョンで影響を受けるのは、Java SE:7u291、8u281、11.0.10、16;
 Java SE Embedded:8u281。Oracle GraalVM Enterprise Edition:19.3.5、20.3.1.2、および 21.0.0.2で構成されています。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、Java SE、Java SE Embedded、Oracle GraalVM Enterprise Editionを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、重要なデータやJava SE、Java SE Embedded、Oracle GraalVM Enterprise Editionがアクセスできるすべてのデータが権限なしで作成、削除、変更される可能性があります。注:この脆弱性は、信頼できないコード(インターネットからのコードなど)を読み込んで実行し、セキュリティをJavaサンドボックスに依存するJavaデプロイメントが対象です。これは、指定されたコンポーネントのAPIに信頼できないデータを供給することでも悪用される可能性があります。

- Oracle Java SEのJava SE、Java SE Embedded、Oracle GraalVM Enterprise Edition製品の脆弱性(コンポーネント:ライブラリ)。サポートされているバージョンで影響を受けるのは、Java SE:7u291、8u281、11.0.10、16;
 Java SE Embedded:8u281。Oracle GraalVM Enterprise Edition:19.3.5、20.3.1.2、および 21.0.0.2で構成されています。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、Java SE、Java SE Embedded、Oracle GraalVM Enterprise Editionを侵害する可能性があります。この攻撃が成功するには、攻撃者以外の人物の関与が必要です。この脆弱性に対する攻撃が成功すると、重要なデータやJava SE、Java SE Embedded、Oracle GraalVM Enterprise Editionがアクセスできるすべてのデータが権限なしで作成、削除、変更される可能性があります。注:この脆弱性は、信頼できないコード(インターネットからのコードなど)を読み込んで実行し、セキュリティをJavaサンドボックスに依存するJavaデプロイメントが対象です。

注意:
- Java CVEには常にOpenJDKバージョンが含まれているとは限りませんが、言及されているOpenJDKセキュリティアドバイザリのパッチバージョンを使用してTenableによって個別に確認されます。
 - Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

7u291 / 8u282 / 11.0.10 / 13.0.6 / 15.0.2 / 16.0.0より後のOpenJDKにアップグレードしてください

参考資料

https://openjdk.java.net/groups/vulnerability/advisories/2021-04-20

プラグインの詳細

深刻度: Medium

ID: 151207

ファイル名: openjdk_20_04_2021.nasl

バージョン: 1.7

タイプ: local

エージェント: windows, macosx, unix

ファミリー: Misc.

公開日: 2021/7/6

更新日: 2023/12/11

設定: 徹底したチェックを有効にする

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: Medium

基本値: 4.3

現状値: 3.6

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

CVSS スコアのソース: CVE-2021-2161

CVSS v3

リスクファクター: Medium

基本値: 5.9

現状値: 5.5

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N

現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:oracle:openjdk

必要な KB アイテム: installed_sw/Java

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2021/4/20

脆弱性公開日: 2021/4/20

参照情報

CVE: CVE-2021-2161, CVE-2021-2163

IAVA: 2021-A-0195