概要
リモートのDebianホストにセキュリティ関連の更新プログラムがありません。
説明
リモートのDebian 9ホストには、dla-2737のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。
- Oracle Java SEのJava SE、Oracle GraalVM Enterprise Edition製品の脆弱性(コンポーネント:
ネットワーキング)。サポートされているバージョンで影響を受けるのは、Java SE:7u301、8u291、11.0.11、16.0.1とOracle GraalVM Enterprise Edition:20.3.2および21.1.0です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、Java SE、Oracle GraalVM Enterprise Editionを侵害する可能性があります。この攻撃が成功するには、攻撃者以外の人物の関与が必要です。この脆弱性に対する攻撃が成功すると、Java SE、Oracle GraalVM Enterprise Editionがアクセスできるデータのサブセットに、権限なしで読み取りアクセスが行われる可能性があります。注:この脆弱性は、通常、サンドボックス化されたJava Web Startアプリケーションまたはサンドボックス化されたJavaアプレットを実行しているクライアントで信頼できないコード(インターネットからのコードなど)を読み込んで実行し、セキュリティをJavaサンドボックスに依存するJavaデプロイメントが対象です。この脆弱性は、通常サーバーで信頼できるコード(管理者がインストールしたコードなど)のみを読み込んで実行するJavaデプロイメントを対象としていません。CVSS 3.1ベーススコア3.1(機密性に影響)CVSS Vector: (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N)。(CVE-2021-2341)
- Oracle Java SEのJava SE、Oracle GraalVM Enterprise Edition製品の脆弱性(コンポーネント:
ライブラリ)。サポートされているバージョンで影響を受けるのは、Java SE:7u301、8u291、11.0.11、16.0.1とOracle GraalVM Enterprise Edition:20.3.2および21.1.0です。容易に悪用できる脆弱性により、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、Java SE、Oracle GraalVM Enterprise Editionを侵害する可能性があります。
この攻撃が成功するには、攻撃者以外の人物の関与が必要です。この脆弱性に対する攻撃が成功すると、Java SE、Oracle GraalVM Enterprise Editionがアクセスできるデータの一部に権限なしで更新アクセス、挿入アクセス、または削除アクセスが行われる可能性があります。注:この脆弱性は、通常、サンドボックス化されたJava Web Startアプリケーションまたはサンドボックス化されたJavaアプレットを実行しているクライアントで信頼できないコード(インターネットからのコードなど)を読み込んで実行し、セキュリティをJavaサンドボックスに依存するJavaデプロイメントが対象です。この脆弱性は、通常サーバーで信頼できるコード(管理者がインストールしたコードなど)のみを読み込んで実行するJavaデプロイメントを対象としていません。CVSS 3.1ベーススコア4.3(整合性への影響)
CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N)。(CVE-2021-2369)
- Oracle Java SEのJava SE、Oracle GraalVM Enterprise Edition製品の脆弱性(コンポーネント:
ホットスポット)。サポートされているバージョンで影響を受けるのは、Java SE:8u291、11.0.11、16.0.1とOracle GraalVM Enterprise Edition:20.3.2および21.1.0です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、Java SE、Oracle GraalVM Enterprise Editionを侵害する可能性があります。
この攻撃が成功するには、攻撃者以外の人物の関与が必要です。この脆弱性に対する攻撃が成功すると、Java SE、Oracle GraalVM Enterprise Editionの乗っ取りが発生する可能性があります。注:この脆弱性は、通常、サンドボックス化されたJava Web Startアプリケーションまたはサンドボックス化されたJavaアプレットを実行しているクライアントで信頼できないコード(インターネットからのコードなど)を読み込んで実行し、セキュリティをJavaサンドボックスに依存するJavaデプロイメントが対象です。この脆弱性は、通常サーバーで信頼できるコード(管理者がインストールしたコードなど)のみを読み込んで実行するJavaデプロイメントを対象としていません。CVSS 3.1 ベーススコア 7.5(機密性、整合性、可用性の影響)CVSS Vector: (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H)。(CVE-2021-2388)
Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。
ソリューション
openjdk-8パッケージをアップグレードしてください。
Debian 9 stretchでは、これらの問題はバージョン8u302-b08-1~deb9u1で修正されています。
プラグインの詳細
ファイル名: debian_DLA-2737.nasl
エージェント: unix
サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
ベクトル: CVSS2#AV:N/AC:H/Au:N/C:P/I:P/A:P
ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:debian:debian_linux:openjdk-8-dbg, p-cpe:/a:debian:debian_linux:openjdk-8-demo, p-cpe:/a:debian:debian_linux:openjdk-8-doc, p-cpe:/a:debian:debian_linux:openjdk-8-jdk, p-cpe:/a:debian:debian_linux:openjdk-8-jdk-headless, p-cpe:/a:debian:debian_linux:openjdk-8-jre, p-cpe:/a:debian:debian_linux:openjdk-8-jre-headless, p-cpe:/a:debian:debian_linux:openjdk-8-jre-zero, p-cpe:/a:debian:debian_linux:openjdk-8-source, cpe:/o:debian:debian_linux:9.0
必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
エクスプロイトの容易さ: Exploits are available