IBM Java 7.0 < 7.0.10.65 / 7.1 < 7.1.4.65 / 8.0 < 8.0.6.25 の複数の脆弱性
high Nessus プラグイン ID 160353
Language:
概要
IBM Java は、複数の脆弱性による影響を受けます。説明
リモートホストにインストールされている IBM Java のバージョンは、7.0 < 7.0.10.65 / 7.1 < 7.1.4.65 / 8.0 < 8.0.6.25 より前です。したがって、Oracle の 2020 年 4 月 14 日の CPU アドバイザリに記載されている複数の脆弱性の影響を受けます。- Oracle Java SE の Java SE、Java SE Embedded 製品の脆弱性 (コンポーネント: スクリプティング)。サポートされているバージョンで影響を受けるのは、Java SEです。8u241, 11.0.6 および14。Java SE Embedded:8u241。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE、Java SE Embedded を侵害する可能性があります。この脆弱性への攻撃が成功すると、Java SEおよびJava SE Embeddedの部分的なサービス拒否 (部分的DOS ) が権限なしで引き起こされる可能性があります。注意: クライアントとサーバーへの Java のデプロイメントが対象です。この脆弱性は、サンドボックス化された Java Web Start アプリケーションと Java アプレットを通じて悪用される可能性があります。これは、Web サービスを経由するなどして、サンドボックス化された Java Web Start アプリケーションやサンドボックス化された Java アプレットを使用せずに、指定されたコンポーネントの API にデータを提供することでも、悪用される可能性があります。(CVE-2020-2754、CVE-2020-2755)
- Oracle Java SE の Java SE、Java SE Embedded 製品の脆弱性 (コンポーネント: Serialization)。
サポートされているバージョンで影響を受けるのは、Java SEです。7u251、8u241、 11.0.6 および14。 Java SE Embedded:8u241。
悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE、Java SE Embedded を侵害する可能性があります。この脆弱性への攻撃が成功すると、Java SEおよびJava SE Embeddedの部分的なサービス拒否 (部分的DOS ) が権限なしで引き起こされる可能性があります。
注意: クライアントとサーバーへの Java のデプロイメントが対象です。この脆弱性は、サンドボックス化された Java Web Start アプリケーションと Java アプレットを通じて悪用される可能性があります。これは、Web サービスを経由するなどして、サンドボックス化された Java Web Start アプリケーションやサンドボックス化された Java アプレットを使用せずに、指定されたコンポーネントの API にデータを提供することでも、悪用される可能性があります。(CVE-2020-2756、CVE-2020-2757)
- Oracle Java SE の Java SE、Java SE Embedded 製品の脆弱性 (コンポーネント: セキュリティ)。サポートされているバージョンで影響を受けるのは、Java SEです。7u251、8u241、 11.0.6 および14。 Java SE Embedded:8u241。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE、Java SE Embedded を侵害する可能性があります。この脆弱性への攻撃が成功すると、Java SEおよびJava SE Embeddedの部分的なサービス拒否 (部分的DOS ) が権限なしで引き起こされる可能性があります。注意: クライアントとサーバーへの Java のデプロイメントが対象です。この脆弱性は、サンドボックス化された Java Web Start アプリケーションと Java アプレットを通じて悪用される可能性があります。また、サンドボックス化された Java Web Start アプリケーションやサンドボックス化された Java アプレット (Web サービスなど ) を使用せずに、指定されたコンポーネントの API にデータを提供することでも悪用されます。(CVE-2020-2773)
- Oracle Java SE の Java SE、Java SE Embedded 製品の脆弱性 (コンポーネント: JSSE)。サポートされているバージョンで影響を受けるのは、Java SEです。7u251、8u241、 11.0.6 および14。 Java SE Embedded:8u241。容易に悪用可能な脆弱性を利用して、認証されていない攻撃者が HTTPS を介してネットワークにアクセスし、Java SE や Java SE Embedded を侵害する可能性があります。この脆弱性への攻撃が成功すると、Java SEおよびJava SE Embeddedの部分的なサービス拒否(部分的DOS)が権限なしで引き起こされる可能性があります。注意: クライアントとサーバーへの Java のデプロイメントが対象です。この脆弱性は、サンドボックス化された Java Web Start アプリケーションと Java アプレットを通じて悪用される可能性があります。また、サンドボックス化された Java Web Start アプリケーションやサンドボックス化された Java アプレット (Web サービスなど ) を使用せずに、指定されたコンポーネントの API にデータを提供することでも悪用されます。(CVE-2020-2781)
- Oracle Java SE の Java SE、Java SE Embedded 製品の脆弱性 (コンポーネント: 軽量HTTPサーバー)。サポートされているバージョンで影響を受けるのは、Java SEです。7u251、8u241、 11.0.6 および14。 Java SE Embedded:
8u241。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE、Java SE Embedded を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Java SE、Java SE Embedded がアクセス可能な一部のデータが権限なしで更新、挿入または削除され、Java SE、Java SE Embedded がアクセス可能なデータサブセットへの権限のない読み取りアクセスが可能になる可能性があります。注意:この脆弱性は、信頼できない Java Web Start アプリケーションや信頼できない Java アプレットを、たとえば Web サービスを介して使用せずに、指定されたコンポーネントの API にデータを提供することでのみ悪用される可能性があります。
(CVE-2020-2800)
- Oracle Java SE の Java SE、Java SE Embedded 製品の脆弱性 (コンポーネント: ライブラリ )。サポートされているバージョンで影響を受けるのは、Java SEです。7u251、8u241、 11.0.6 および14。 Java SE Embedded:8u241。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE、Java SE Embedded を侵害する可能性があります。攻撃を成功させるには攻撃者以外の人間の関与が必要であり、脆弱性が存在するのはJava SE、Java SE Embeddedであるものの、攻撃が他の製品に大きな影響を与える可能性があります。この脆弱性に対する攻撃が成功すると、Java SEおよびJava SE Embeddedの乗っ取りが発生する可能性があります。注意:この脆弱性は、通常、サンドボックス化された Java Web Start アプリケーションまたはサンドボックス化された Java アプレットを実行しているクライアントで信頼できないコード(インターネットからのコードなど)を読み込んで実行し、セキュリティを Java サンドボックスに依存する Java デプロイメントが対象です。この脆弱性は、通常サーバーで信頼できるコード (管理者がインストールしたコードなど ) のみを読み込んで実行する Java デプロイメントを対象としていません。(CVE-2020-2803、CVE-2020-2805)
- Oracle Java SE の Java SE、Java SE Embedded 製品の脆弱性 (コンポーネント: 同時実行性)。
サポートされているバージョンで影響を受けるのは、Java SEです。7u251、8u241、 11.0.6 および14。 Java SE Embedded:8u241。
容易に悪用可能な脆弱性を利用して、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SEやJava SE Embedded を侵害する可能性があります。この脆弱性への攻撃が成功すると、Java SEおよびJava SE Embeddedの部分的なサービス拒否(部分的DOS)が権限なしで引き起こされる可能性があります。
注意: クライアントとサーバーへの Java のデプロイメントが対象です。この脆弱性は、サンドボックス化された Java Web Start アプリケーションと Java アプレットを通じて悪用される可能性があります。また、サンドボックス化された Java Web Start アプリケーションやサンドボックス化された Java アプレット (Web サービスなど ) を使用せずに、指定されたコンポーネントの API にデータを提供することでも悪用されます。(CVE-2020-2830)
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。
ソリューション
Oracle の 2020 年 4 月 14 日の CPU アドバイザリに従って、適切なパッチを適用してください。参考資料
http://www-01.ibm.com/support/docview.wss?uid=swg1IJ24362
http://www-01.ibm.com/support/docview.wss?uid=swg1IJ24363
http://www-01.ibm.com/support/docview.wss?uid=swg1IJ24364
http://www-01.ibm.com/support/docview.wss?uid=swg1IJ24365
http://www-01.ibm.com/support/docview.wss?uid=swg1IJ24366
http://www-01.ibm.com/support/docview.wss?uid=swg1IJ24367
http://www-01.ibm.com/support/docview.wss?uid=swg1IJ24368
http://www-01.ibm.com/support/docview.wss?uid=swg1IJ24369
http://www-01.ibm.com/support/docview.wss?uid=swg1IJ24370
プラグインの詳細
深刻度: High
ID: 160353
ファイル名: ibm_java_2020_04_14.nasl
バージョン: 1.3
タイプ: local
エージェント: windows, macosx, unix
ファミリー: Misc.
公開日: 2022/4/29
更新日: 2022/5/6
設定: 徹底したチェックを有効にする
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.5
CVSS v2
リスクファクター: Medium
基本値: 5.8
現状値: 4.3
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N
CVSS スコアのソース: CVE-2020-2800
CVSS v3
リスクファクター: High
基本値: 8.3
現状値: 7.2
ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
CVSS スコアのソース: CVE-2020-2805
脆弱性情報
CPE: cpe:/a:ibm:java
必要な KB アイテム: installed_sw/Java
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2020/4/14
脆弱性公開日: 2020/4/14
参照情報
CVE: CVE-2020-2754, CVE-2020-2755, CVE-2020-2756, CVE-2020-2757, CVE-2020-2773, CVE-2020-2781, CVE-2020-2800, CVE-2020-2803, CVE-2020-2805, CVE-2020-2830
IAVA: 2020-A-0134-S