概要
IBM Java は、複数の脆弱性による影響を受けます。
説明
リモートホストにインストールされている IBM Java のバージョンは、6.0 < 6.0.16.20/ 6.1< 6.1.8.20/ 7.0< 7.0.9.30/ 7.1< 7.1.3.30/ 8.0< 8.0.2.10より前です。したがって、Oracle の 2016 年 1 月 19 日の CPU アドバイザリに記載されている複数の脆弱性の影響を受けます。
- 43.0.2以前の Mozilla Firefox および 38.5.2以前の Firefox ESR 38.xで使用される、3.20.2 以前の Mozilla Network Security Services (NSS) は、TLS 1.2Handshake Protocol トラフィックの Server Key Exchange メッセージの MD5 署名を拒否しません。これにより、中間者攻撃者が、衝突を発生させることで、サーバーを偽装しやすくなります。(CVE-2015-7575)
- 1.0.64以前、1.2.54 以前の 1.1.xおよび 1.2.x、1.4.17 以前の 1.3.xおよび 1.4.x、1.5.24 以前の 1.5.x、および 1.6.19以前の 1.6.xの libpng の (1) png_set_PLTE and (2) png_get_PLTE 関数の複数のバッファオーバーフローにより、PNG 画像の中の IHDR (別名 : 画像ヘッダー) チャンクの中の小さなビット深度の値を介して、リモートの攻撃者がサービス拒否 (アプリケーションクラッシュ) を引き起こしたり、特定されないその他の影響を及ぼしたりする可能性があります。(CVE-2015-8126)
- 1.0.65より前、1.2.55 より前の 1.1.xおよび 1.2.x、1.3.x、1.4.18 より前の 1.4.x、1.5.25 より前の 1.5.x、および 1.6.20より前の 1.6.xの libpng の png_set_PLTE 関数のバッファオーバーフローにより、PNG 画像における IHDR (別名 : 画像ヘッダー) チャンクの小さなビット深度の値を介して、リモートの攻撃者がサービス拒否 (アプリケーションクラッシュ) を引き起こしたり、詳細不明なその他の影響を及ぼしたりする可能性があります。注:この脆弱性は、CVE-2015-8126の修正が不完全なために存在します。(CVE-2015-8472)
- Oracle Java SE 6u105、7u91、8u66、および Java SE Embedded 8u65 の Java SE および Java SE Embedded コンポーネントの詳細不明な脆弱性により、リモートの攻撃者が、Networking に関連する未知のベクトルを通じて、整合性に影響を与える可能性があります。(CVE-2016-0402)
- Oracle Java SE 6u105、7u91、8u66、および Java SE Embedded 8u65 の Java SE および Java SE Embedded コンポーネントの詳細不明な脆弱性により、リモートの認証されたユーザーが、JMX に関連するベクトルを通じて、機密性に影響を与える可能性があります。(CVE-2016-0448)
- Oracle Java SE 6u105、7u91、および 8u66、Java SE Embedded 8u65、ならびに JRockit R28.3.8 の Java SE、Java SE Embedded、および JRockit コンポーネントの詳細不明な脆弱性により、リモートの攻撃者が、JAXP に関連するベクトルを通じて、可用性に影響を与える可能性があります。(CVE-2016-0466)
- Oracle Java SE 8u66、
Java SE Embedded 8u65、および JRockit R28.3.8 の Java SE、Java SE Embedded、および JRockit コンポーネントの詳細不明な脆弱性により、リモートの攻撃者が、ライブラリに関連する未知のベクトルを通じて、機密性と整合性に影響を与える可能性があります。(CVE-2016-0475)
- Oracle Java SE 6u105、7u91、および 8u66、Java SE Embedded 8u65、ならびに JRockit R28.3.8 の詳細不明な脆弱性により、リモートの攻撃者が、AWT に関連するベクトルを通じて、機密性、整合性および可用性に影響を与える可能性があります。注:前述の情報は、2016 年の CPU から得たものです。Oracle は、これが readImage 関数のヒープベースのバッファオーバーフローであり、これによりリモートの攻撃者が、細工された画像データを介して任意のコードを実行する可能性があるという、サードパーティの主張についてコメントしていません。(CVE-2016-0483)
- Oracle Java SE 6u105、7u91、および 8u66、ならびに Java SE Embedded 8u65 の Java SE および Java SE Embedded コンポーネントの詳細不明な脆弱性により、リモートの攻撃者が、2D に関連する未知のベクトルを通じて、機密性、整合性および可用性に影響を与える可能性があります。(CVE-2016-0494)
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。
ソリューション
Oracle の 2016 年 1 月 19 日の CPU アドバイザリに従い、適切なパッチを適用してください。
プラグインの詳細
ファイル名: ibm_java_2016_01_19.nasl
エージェント: windows, macosx, unix
設定: 徹底したチェックを有効にする
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:ibm:java
必要な KB アイテム: installed_sw/Java
エクスプロイトの容易さ: No known exploits are available