Azul Zulu Javaの複数の脆弱性(2021年7月20日)
low Nessus プラグイン ID 153989
Language:
概要
Azul Zulu OpenJDKは複数の脆弱性の影響を受けます。説明
リモートホストにインストールされているAzul Zuluのバージョンは、6 < 6.41.0.12 / 7 < 7.47.0.14 / 8 < 8.55.0.14 / 11 < 11.49.14 / 13 < 13.41.12 / 15 < 15.33.12 / 16 < 16.32.16より前です。したがって、2021年7月20日のアドバイザリに記載されている複数の脆弱性の影響を受けます。- Oracle Java SEのJava SE、Oracle GraalVM Enterprise Edition製品の脆弱性(コンポーネント:
ネットワーキング)。サポートされているバージョンで影響を受けるのは、Java SE:7u301、8u291、11.0.11、16.0.1とOracle GraalVM Enterprise Edition:20.3.2および21.1.0です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、Java SE、Oracle GraalVM Enterprise Editionを侵害する可能性があります。この攻撃が成功するには、攻撃者以外の人物の関与が必要です。この脆弱性に対する攻撃が成功すると、Java SE、Oracle GraalVM Enterprise Editionがアクセスできるデータのサブセットに、権限なしで読み取りアクセスが行われる可能性があります。注:この脆弱性は、通常、サンドボックス化されたJava Web Startアプリケーションまたはサンドボックス化されたJavaアプレットを実行しているクライアントで信頼できないコード(インターネットからのコードなど)を読み込んで実行し、セキュリティをJavaサンドボックスに依存するJavaデプロイメントが対象です。この脆弱性は、通常サーバーで信頼できるコード(管理者がインストールしたコードなど)のみを読み込んで実行するJavaデプロイメントを対象としていません。CVSS 3.1ベーススコア3.1(機密性に影響)CVSS Vector: (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N)。(CVE-2021-2341)
- Oracle Java SEのJava SE、Oracle GraalVM Enterprise Edition製品の脆弱性(コンポーネント:
ライブラリ)。サポートされているバージョンで影響を受けるのは、Java SE:7u301、8u291、11.0.11、16.0.1とOracle GraalVM Enterprise Edition:20.3.2および21.1.0です。容易に悪用できる脆弱性により、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、Java SE、Oracle GraalVM Enterprise Editionを侵害する可能性があります。
この攻撃が成功するには、攻撃者以外の人物の関与が必要です。この脆弱性に対する攻撃が成功すると、Java SE、Oracle GraalVM Enterprise Editionがアクセスできるデータの一部に権限なしで更新アクセス、挿入アクセス、または削除アクセスが行われる可能性があります。注:この脆弱性は、通常、サンドボックス化されたJava Web Startアプリケーションまたはサンドボックス化されたJavaアプレットを実行しているクライアントで信頼できないコード(インターネットからのコードなど)を読み込んで実行し、セキュリティをJavaサンドボックスに依存するJavaデプロイメントが対象です。この脆弱性は、通常サーバーで信頼できるコード(管理者がインストールしたコードなど)のみを読み込んで実行するJavaデプロイメントを対象としていません。CVSS 3.1ベーススコア4.3(整合性への影響)
CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N)。(CVE-2021-2369)
- Oracle Java SEのJava SE、Oracle GraalVM Enterprise Edition製品の脆弱性(コンポーネント:
ホットスポット)。サポートされているバージョンで影響を受けるのは、Java SE:8u291、11.0.11、16.0.1とOracle GraalVM Enterprise Edition:20.3.2および21.1.0です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、Java SE、Oracle GraalVM Enterprise Editionを侵害する可能性があります。
この攻撃が成功するには、攻撃者以外の人物の関与が必要です。この脆弱性に対する攻撃が成功すると、Java SE、Oracle GraalVM Enterprise Editionの乗っ取りが発生する可能性があります。注:この脆弱性は、通常、サンドボックス化されたJava Web Startアプリケーションまたはサンドボックス化されたJavaアプレットを実行しているクライアントで信頼できないコード(インターネットからのコードなど)を読み込んで実行し、セキュリティをJavaサンドボックスに依存するJavaデプロイメントが対象です。この脆弱性は、通常サーバーで信頼できるコード(管理者がインストールしたコードなど)のみを読み込んで実行するJavaデプロイメントを対象としていません。CVSS 3.1 ベーススコア 7.5(機密性、整合性、可用性の影響)CVSS Vector: (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H)。(CVE-2021-2388)
- Oracle Java SEのJava SE製品の脆弱性(コンポーネント:JNDI)。サポートされているバージョンで影響を受けるのは、Java SE: 7u301です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、Java SEを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Java SEの部分的なサービス拒否(部分的DOS)が権限なしで引き起こされる可能性があります。注:この脆弱性は、通常、サンドボックス化されたJava Web Startアプリケーションまたはサンドボックス化されたJavaアプレットを実行しているクライアントで信頼できないコード(インターネットからのコードなど)を読み込んで実行し、セキュリティをJavaサンドボックスに依存するJavaデプロイメントが対象です。この脆弱性は、指定されたコンポーネントでAPIを使用することによって(たとえばAPIにデータを提供するWebサービスを通して)悪用される可能性もあります。CVSS 3.1ベーススコア3.7(可用性に影響)。CVSS Vector:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L)。
(CVE-2021-2432)
Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。
ソリューション
2021年7月のAzul Zulu OpenJDK Patch Updateアドバイザリに従い、適切なパッチを適用してください。参考資料
https://docs.azul.com/core/zulu-openjdk/release-notes/july-2021
プラグインの詳細
深刻度: Low
ID: 153989
ファイル名: azul_zulu_16_32_16.nasl
バージョン: 1.6
タイプ: local
エージェント: windows, macosx, unix
ファミリー: Misc.
公開日: 2021/10/11
更新日: 2025/5/28
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: Medium
基本値: 5.1
現状値: 4.2
ベクトル: CVSS2#AV:N/AC:H/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2021-2388
CVSS v3
リスクファクター: Low
基本値: 3.7
現状値: 3.5
ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L
現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C
CVSS スコアのソース: CVE-2021-2432
脆弱性情報
CPE: cpe:/a:azul:zulu
必要な KB アイテム: installed_sw/Java
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2021/7/20
脆弱性公開日: 2021/7/20
参照情報
CVE: CVE-2021-2341, CVE-2021-2369, CVE-2021-2388, CVE-2021-2432
IAVA: 2021-A-0327-S