概要
リモートのSUSEホストに1つ以上のセキュリティ更新がありません。
説明
リモートのSUSE Linux SUSE15ホストには、openSUSE-SU-2021:2952-1のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。
- Oracle Java SEのJava SE、Oracle GraalVM Enterprise Edition製品の脆弱性(コンポーネント:
ネットワーキング)。サポートされているバージョンで影響を受けるのは、Java SE:7u301、8u291、11.0.11、16.0.1とOracle GraalVM Enterprise Edition:20.3.2および21.1.0です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、Java SE、Oracle GraalVM Enterprise Editionを侵害する可能性があります。この攻撃が成功するには、攻撃者以外の人物の関与が必要です。この脆弱性に対する攻撃が成功すると、Java SE、Oracle GraalVM Enterprise Editionがアクセスできるデータのサブセットに、権限なしで読み取りアクセスが行われる可能性があります。注:この脆弱性は、通常、サンドボックス化されたJava Web Startアプリケーションまたはサンドボックス化されたJavaアプレットを実行しているクライアントで信頼できないコード(インターネットからのコードなど)を読み込んで実行し、セキュリティをJavaサンドボックスに依存するJavaデプロイメントが対象です。この脆弱性は、通常サーバーで信頼できるコード(管理者がインストールしたコードなど)のみを読み込んで実行するJavaデプロイメントを対象としていません。CVSS 3.1ベーススコア3.1(機密性に影響)CVSS Vector: (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N)。(CVE-2021-2341)
- Oracle Java SEのJava SE、Oracle GraalVM Enterprise Edition製品の脆弱性(コンポーネント:
ライブラリ)。サポートされているバージョンで影響を受けるのは、Java SE:7u301、8u291、11.0.11、16.0.1とOracle GraalVM Enterprise Edition:20.3.2および21.1.0です。容易に悪用できる脆弱性により、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、Java SE、Oracle GraalVM Enterprise Editionを侵害する可能性があります。
この攻撃が成功するには、攻撃者以外の人物の関与が必要です。この脆弱性に対する攻撃が成功すると、Java SE、Oracle GraalVM Enterprise Editionがアクセスできるデータの一部に権限なしで更新アクセス、挿入アクセス、または削除アクセスが行われる可能性があります。注:この脆弱性は、通常、サンドボックス化されたJava Web Startアプリケーションまたはサンドボックス化されたJavaアプレットを実行しているクライアントで信頼できないコード(インターネットからのコードなど)を読み込んで実行し、セキュリティをJavaサンドボックスに依存するJavaデプロイメントが対象です。この脆弱性は、通常サーバーで信頼できるコード(管理者がインストールしたコードなど)のみを読み込んで実行するJavaデプロイメントを対象としていません。CVSS 3.1ベーススコア4.3(整合性への影響)
CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N)。(CVE-2021-2369)
- Oracle Java SEのJava SE、Oracle GraalVM Enterprise Edition製品の脆弱性(コンポーネント:
ホットスポット)。サポートされているバージョンで影響を受けるのは、Java SE:8u291、11.0.11、16.0.1とOracle GraalVM Enterprise Edition:20.3.2および21.1.0です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、Java SE、Oracle GraalVM Enterprise Editionを侵害する可能性があります。
この攻撃が成功するには、攻撃者以外の人物の関与が必要です。この脆弱性に対する攻撃が成功すると、Java SE、Oracle GraalVM Enterprise Editionの乗っ取りが発生する可能性があります。注:この脆弱性は、通常、サンドボックス化されたJava Web Startアプリケーションまたはサンドボックス化されたJavaアプレットを実行しているクライアントで信頼できないコード(インターネットからのコードなど)を読み込んで実行し、セキュリティをJavaサンドボックスに依存するJavaデプロイメントが対象です。この脆弱性は、通常サーバーで信頼できるコード(管理者がインストールしたコードなど)のみを読み込んで実行するJavaデプロイメントを対象としていません。CVSS 3.1 ベーススコア 7.5(機密性、整合性、可用性の影響)CVSS Vector: (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H)。(CVE-2021-2388)
Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。
ソリューション
影響を受けるパッケージを更新してください。
プラグインの詳細
ファイル名: openSUSE-2021-2952.nasl
エージェント: unix
サポートされているセンサー: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
ベクトル: CVSS2#AV:N/AC:H/Au:N/C:P/I:P/A:P
ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:java-11-openjdk, p-cpe:/a:novell:opensuse:java-11-openjdk-accessibility, p-cpe:/a:novell:opensuse:java-11-openjdk-demo, p-cpe:/a:novell:opensuse:java-11-openjdk-devel, p-cpe:/a:novell:opensuse:java-11-openjdk-headless, p-cpe:/a:novell:opensuse:java-11-openjdk-javadoc, p-cpe:/a:novell:opensuse:java-11-openjdk-jmods, p-cpe:/a:novell:opensuse:java-11-openjdk-src, cpe:/o:novell:opensuse:15.3
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトの容易さ: Exploits are available