検出

IBM Java 6.0< 6.0.16.25/ 6.1< 6.1.8.25/ 7.0< 7.0.9.40/ 7.1< 7.1.3.40/ 8.0< 8.0.3.0複数の脆弱性 (2016 年 4 月 19 日)

critical Nessus プラグイン ID 160348

Language:

概要

IBM Java は、複数の脆弱性による影響を受けます。

説明

リモートホストにインストールされている IBM Java のバージョンは、6.0 < 6.0.16.25/ 6.1< 6.1.8.25/ 7.0< 7.0.9.40/ 7.1< 7.1.3.40/ 8.0< 8.0.3.0より前です。したがって、Oracle の 2016 年 4 月 19 日の CPU アドバイザリに記載されている複数の脆弱性の影響を受けます。

 - Oracle Java SE 6u113、7u99、8u77、および Java SE Embedded 8u77 の詳細不明な脆弱性により、リモートの攻撃者がシリアル化に関連するベクトルを介して、機密性、整合性、可用性に影響を与える可能性があります。
 (CVE-2016-0686)

 - Oracle Java SE 6u113、7u99、8u77、および Java SE Embedded 8u77 の詳細不明な脆弱性により、リモートの攻撃者が Hotspot サブコンポーネントに関連するベクトルを介して、機密性、整合性、可用性に影響を与える可能性があります。(CVE-2016-0687)

 - Oracle Java SE 6u113、7u99、および 8u77 の詳細不明な脆弱性により、リモートの攻撃者が、2D に関連するベクトルを通じて、可用性に影響を与える可能性があります。(CVE-2016-3422)

 - Oracle Java SE 8u77 および Java SE Embedded 8u77 の詳細不明な脆弱性により、リモートの攻撃者が JCE に関連するベクトルを介して機密性に影響を与える可能性があります。(CVE-2016-3426)

 - Oracle Java SE 6u113、7u99、8u77、Java SE Embedded 8u77、JRockit R28.3.9 の詳細不明な脆弱性により、リモートの攻撃者が JMX に関連するベクトルを介して、機密性、整合性、可用性に影響を与える可能性があります。(CVE-2016-3427)

 - Oracle Java SE 6u113、7u99、および 8u77 の詳細不明な脆弱性により、リモートの攻撃者が 2D に関連する不明なベクトルを通じて、機密性、整合性および可用性に影響を与える可能性があります。注:前述の情報は、2016 年 4 月の CPU から得たものです。Oracle は、この問題によりリモートの攻撃者が細工されたフォントデータを介して機密情報を取得し、領域外読み取りを引き起こす可能性があるというサードパーティの主張についてコメントしていません。
 (CVE-2016-3443)

 - Oracle Java SE 6u113、7u99、および 8u77 の詳細不明な脆弱性により、リモートの攻撃者が展開に関連するベクトルを通じて、機密性、整合性および可用性に影響を与える可能性があります。(CVE-2016-3449)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

Oracle の 2016 年 4 月 19 日の CPU アドバイザリに従い、適切なパッチを適用してください。

参考資料

http://www-01.ibm.com/support/docview.wss?uid=swg1IV83999

http://www-01.ibm.com/support/docview.wss?uid=swg1IV84000

http://www-01.ibm.com/support/docview.wss?uid=swg1IV84026

http://www-01.ibm.com/support/docview.wss?uid=swg1IV84027

http://www-01.ibm.com/support/docview.wss?uid=swg1IV84028

http://www-01.ibm.com/support/docview.wss?uid=swg1IV84029

http://www-01.ibm.com/support/docview.wss?uid=swg1IV84030

http://www.nessus.org/u?dd15ddc5

プラグインの詳細

深刻度: Critical

ID: 160348

ファイル名: ibm_java_2016_04_19.nasl

バージョン: 1.4

タイプ: local

エージェント: windows, macosx, unix

ファミリー: Misc.

公開日: 2022/4/29

更新日: 2023/5/14

設定: 徹底したチェックを有効にする

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 8.1

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 8.3

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2016-3443

CVSS v3

リスクファクター: Critical

基本値: 9.6

現状値: 8.9

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:ibm:java

必要な KB アイテム: installed_sw/Java

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2016/4/19

脆弱性公開日: 2016/4/19

CISA の既知の悪用された脆弱性の期限日: 2023/6/2

参照情報

CVE: CVE-2016-0686, CVE-2016-0687, CVE-2016-3422, CVE-2016-3426, CVE-2016-3427, CVE-2016-3443, CVE-2016-3449

IAVA: 2016-A-0100-S