概要
IBM Java は、複数の脆弱性による影響を受けます。
説明
リモートホストにインストールされている IBM Java のバージョンは、7.0 < 7.0.10.40 / 7.1 < 7.1.4.40 / 8.0 < 8.0.5.30 より前です。したがって、Oracle の 2019 年 1 月 15 日の CPU アドバイザリに記載されている複数の脆弱性の影響を受けます。
- libjpeg 9a および 9d で問題が発見されました。jmemmgr.c の alloc_sarray 関数により、リモート攻撃者が細工されたファイルを介してサービス拒否 (ゼロ除算エラー) を引き起こす可能性があります。(CVE-2018-11212)
- Oracle Java SE の Java SE コンポーネントの脆弱性(サブコンポーネント: Libraries)。サポートされているバージョンで影響を受けるのは、Java SE: 7u201、8u192 および 11.0.1。Java SE Embedded : 8u191。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、Java SE を侵害する可能性があります。この攻撃が成功するには、攻撃者以外の人物の関与が必要です。この脆弱性に対する攻撃が成功すると、Java SE がアクセスできるサブセットのデータが、不正に読み取りアクセスされる可能性があります。注:この脆弱性が該当するのは、通常サンドボックス化された Java Web Start アプリケーションまたはサンドボックス化された Java アプレットを(Java SE 8 で)実行しているクライアントで、信頼できないコード(インターネットからのコードなど)を読み込んで実行し、セキュリティについては Java サンドボックスに依存している Java デプロイメントです。この脆弱性は、通常サーバーで信頼できるコード (管理者がインストールしたコードなど) のみを読み込んで実行する Java デプロイメントを対象としていません。(CVE-2019-2422)
- Oracle Java SE の Java SE コンポーネントの脆弱性(サブコンポーネント: ネットワーキング)。サポートされているバージョンで影響を受けるのは、Java SE: 7u201、8u192 および 11.0.1。Java SE Embedded : 8u191。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、Java SE を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Java SE がアクセスできるサブセットのデータが、不正に読み取りアクセスされる可能性があります。注:この脆弱性が該当するのは、通常サンドボックス化された Java Web Start アプリケーションまたはサンドボックス化された Java アプレットを(Java SE 8 で)実行しているクライアントで、信頼できないコード(インターネットからのコードなど)を読み込んで実行し、セキュリティについては Java サンドボックスに依存している Java デプロイメントです。この脆弱性は、指定されたコンポーネントで API を使用することによって (たとえば API にデータを提供する Web サービスを通して) 悪用される可能性もあります。(CVE-2019-2426)
- Oracle Java SE の Java SE コンポーネントの脆弱性(サブコンポーネント: Deployment)。サポートされているバージョンで影響を受けるのは、Java SE: 8u192。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、Java SE を侵害する可能性があります。この攻撃が成功するには、攻撃者以外の人物の関与が必要です。この脆弱性に対する攻撃が成功すると、Java SE の部分的なサービス拒否 (部分的 DOS) が権限なしで引き起こされる可能性があります。注:この脆弱性が該当するのは、通常サンドボックス化された Java Web Start アプリケーションまたはサンドボックス化された Java アプレットを(Java SE 8 で)実行しているクライアントで、信頼できないコード(インターネットからのコードなど)を読み込んで実行し、セキュリティについては Java サンドボックスに依存している Java デプロイメントです。この脆弱性は、通常サーバーで信頼できるコード (管理者がインストールしたコードなど) のみを読み込んで実行する Java デプロイメントを対象としていません。(CVE-2019-2449)
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。
ソリューション
Oracle の 2019 年 1 月 15 日の CPU アドバイザリに従い、適切なパッチを適用してください。
プラグインの詳細
ファイル名: ibm_java_2019_01_15.nasl
エージェント: windows, macosx, unix
設定: 徹底したチェックを有効にする
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N
ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:ibm:java
必要な KB アイテム: installed_sw/Java
エクスプロイトの容易さ: Exploits are available