概要
IBM Java は、複数の脆弱性による影響を受けます。
説明
リモートホストにインストールされている IBM Java のバージョンは、7.0 < 7.0.10.70/ 7.1< 7.1.4.70/ 8.0< 8.0.6.15より前です。したがって、Oracle の 2020 年 1 月 14 日の CPU アドバイザリに記載されている複数の脆弱性の影響を受けます。
- Oracle Java SE の Java SE、Java SE Embedded 製品の脆弱性 (コンポーネント: Serialization)。
サポートされているバージョンで影響を受けるのは、Java SE: 7u241、8u231、11.0.5および13.0.1; Java SE Embedded:
8u231。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE、Java SE Embedded を侵害する可能性があります。この脆弱性への攻撃が成功すると、Java SEおよびJava SE Embeddedの部分的なサービス拒否 (部分的DOS ) が権限なしで引き起こされる可能性があります。
注: この脆弱性が該当するのは、通常サンドボックス化された Java Web Start アプリケーションまたはサンドボックス化された Java アプレットを (Java SE 8 で) 実行しているクライアントで、信頼できないコード (インターネットからのコードなど) を読み込んで実行し、セキュリティについては Java サンドボックスに依存している Java デプロイメントです。この脆弱性は、指定されたコンポーネントで API を使用することによって (たとえば API にデータを提供する Web サービスを通して) 悪用される可能性もあります。(CVE-2020-2583)
- Oracle Java SE の Java SE、Java SE Embedded 製品の脆弱性 (コンポーネント: セキュリティ) 。サポートされているバージョンで影響を受けるのは、Java SE:7u241、8u231、11.0.5および13.0.1; Java SE Embedded: 8u231。
悪用が難しい脆弱性ですが、認証されていない攻撃者が Kerberos を介してネットワークにアクセスし、Java SE、Java SE Embedded を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Java SE、Java SE Embedded がアクセスできるデータの一部が、権限なしで更新、挿入、削除される可能性があります。注:この脆弱性が該当するのは、通常サンドボックス化された Java Web Start アプリケーションまたはサンドボックス化された Java アプレットを (Java SE 8 で) 実行しているクライアントで、信頼できないコード (インターネットからのコードなど) を読み込んで実行し、セキュリティについては Java サンドボックスに依存している Java デプロイメントです。この脆弱性は、指定されたコンポーネントで API を使用することによって (たとえば API にデータを提供する Web サービスを通して) 悪用される可能性もあります。(CVE-2020-2590)
- Oracle Java SE の Java SE、Java SE Embedded 製品の脆弱性 (コンポーネント: ネットワーキング)。
サポートされているバージョンで影響を受けるのは、Java SE: 7u241、8u231、11.0.5および13.0.1; Java SE Embedded:
8u231。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE、Java SE Embedded を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Java SE、Java SE Embedded がアクセス可能な一部のデータが権限なしで更新、挿入または削除され、Java SE、Java SE Embedded がアクセス可能なデータサブセットへの権限のない読み取りアクセスが可能になる可能性があります。注: この脆弱性が該当するのは、通常サンドボックス化された Java Web Start アプリケーションまたはサンドボックス化された Java アプレットを (Java SE 8 で) 実行しているクライアントで、信頼できないコード (インターネットからのコードなど) を読み込んで実行し、セキュリティについては Java サンドボックスに依存している Java デプロイメントです。この脆弱性は、指定されたコンポーネントで API を使用することによって (たとえば API にデータを提供する Web サービスを通して) 悪用される可能性もあります。(CVE-2020-2593)
- Oracle Java SE の Java SE、Java SE Embedded 製品の脆弱性 (コンポーネント: セキュリティ) 。サポートされているバージョンで影響を受けるのは、Java SE:7u241、8u231、11.0.5および13.0.1; Java SE Embedded: 8u231。
悪用が難しい脆弱性ですが、認証されていない攻撃者が Kerberos を介してネットワークにアクセスし、Java SE、Java SE Embedded を侵害する可能性があります。この脆弱性は Java SE、Java SE Embedded にありますが、攻撃によってほかの製品にも大きな影響が出る可能性があります。この脆弱性による攻撃が成功すると、重要なデータに不正にアクセスしたり、Java SE、Java SE Embedded がアクセスできるすべてのデータに完全にアクセスしたりできる可能性があります。
注:この脆弱性が該当するのは、通常サンドボックス化された Java Web Start アプリケーションまたはサンドボックス化された Java アプレットを (Java SE 8 で) 実行しているクライアントで、信頼できないコード (インターネットからのコードなど) を読み込んで実行し、セキュリティについては Java サンドボックスに依存している Java デプロイメントです。この脆弱性は、指定されたコンポーネントで API を使用することによって (たとえば API にデータを提供する Web サービスを通して) 悪用される可能性もあります。(CVE-2020-2601)
- Oracle Java SE の Java SE、Java SE Embedded 製品の脆弱性 (コンポーネント: Serialization)。
サポートされているバージョンで影響を受けるのは、Java SE: 7u241、8u231、11.0.5および13.0.1; Java SE Embedded:
8u231。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE、Java SE Embedded を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Java SEおよびJava SE Embeddedの乗っ取りが発生する可能性があります。注: この脆弱性が該当するのは、通常サンドボックス化された Java Web Start アプリケーションまたはサンドボックス化された Java アプレットを (Java SE 8 で) 実行しているクライアントで、信頼できないコード (インターネットからのコードなど) を読み込んで実行し、セキュリティについては Java サンドボックスに依存している Java デプロイメントです。この脆弱性は、指定されたコンポーネントで API を使用することによって (たとえば API にデータを提供する Web サービスを通して) 悪用される可能性もあります。(CVE-2020-2604)
- Oracle Java SEのJava SE製品の脆弱性 (コンポーネント:ライブラリ )。サポートされているバージョンで影響を受けるのは、Java SE: 7u241、8u231、11.0.5および 13.0.1です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、Java SE を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Java SE の部分的なサービス拒否 (部分的 DOS) が権限なしで引き起こされる可能性があります。注: この脆弱性は、信頼できない Java Web Start アプリケーションや信頼できない Java アプレットを、たとえば Web サービスを介して使用せずに、指定されたコンポーネントの API にデータを提供することでのみ悪用される可能性があります。(CVE-2020-2654)
- Oracle Java SE の Java SE、Java SE Embedded 製品の脆弱性 (コンポーネント: ネットワーキング)。
サポートされているバージョンで影響を受けるのは、Java SE: 7u241および8u231; Java SE Embedded: 8u231。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE、Java SE Embedded を侵害する可能性があります。この脆弱性への攻撃が成功すると、Java SEおよびJava SE Embeddedの部分的なサービス拒否 (部分的DOS ) が権限なしで引き起こされる可能性があります。注: この脆弱性が該当するのは、通常サンドボックス化された Java Web Start アプリケーションまたはサンドボックス化された Java アプレットを (Java SE 8 で) 実行しているクライアントで、信頼できないコード (インターネットからのコードなど) を読み込んで実行し、セキュリティについては Java サンドボックスに依存している Java デプロイメントです。この脆弱性は、指定されたコンポーネントで API を使用することによって (たとえば API にデータを提供する Web サービスを通して) 悪用される可能性もあります。(CVE-2020-2659)
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。
ソリューション
Oracle の 2020 年 1 月 14 日の CPU アドバイザリに従って、適切なパッチを適用してください。
プラグインの詳細
ファイル名: ibm_java_2020_01_14.nasl
エージェント: windows, macosx, unix
設定: 徹底したチェックを有効にする
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:ibm:java
必要な KB アイテム: installed_sw/Java
エクスプロイトの容易さ: Exploits are available