IBM Java 7.0 < 7.0.11.0 / 7.1 < 7.1.5.0 / 8.0 < 8.0.6.35 / 11.0 < 11.0.12 の複数の脆弱性
low Nessus プラグイン ID 160373
Language:
概要
IBM Java は、複数の脆弱性による影響を受けます。説明
リモートホストにインストールされている IBM Java のバージョンは、7.0 < 7.0.11.0 / 7.1 < 7.1.5.0 / 8.0 < 8.0.6.35 / 11.0 < 11.0.12 より前です。したがって、Oracle の 2021 年 7 月 20 日の CPU アドバイザリに記載されている複数の脆弱性の影響を受けます。- Oracle Java SEのJava SE、Oracle GraalVM Enterprise Edition製品の脆弱性 (コンポーネント:
ネットワーキング)。サポートされているバージョンで影響を受けるのは、Java SE: 7u301、8u291、11.0.11、16.0.1とOracle GraalVM Enterprise Edition:20.3.2および21.1.0です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、Java SE、Oracle GraalVM Enterprise Edition を侵害する可能性があります。この攻撃が成功するには、攻撃者以外の人物の関与が必要です。この脆弱性に対する攻撃が成功すると、Java SE、Oracle GraalVM Enterprise Editionがアクセスできるデータのサブセットに、権限なしで読み取りアクセスが行われる可能性があります。注: この脆弱性は、通常、サンドボックス化された Java Web Start アプリケーションまたはサンドボックス化された Java アプレットを実行しているクライアントで信頼できないコード(インターネットからのコードなど)を読み込んで実行し、セキュリティを Java サンドボックスに依存する Java デプロイメントが対象です。この脆弱性は、通常サーバーで信頼できるコード (管理者がインストールしたコードなど) のみを読み込んで実行する Java デプロイメントを対象としていません。(CVE-2021-2341)
- Oracle Java SEのJava SE、Oracle GraalVM Enterprise Edition製品の脆弱性(コンポーネント:
ライブラリ)。サポートされているバージョンで影響を受けるのは、Java SE: 7u301、8u291、11.0.11、16.0.1とOracle GraalVM Enterprise Edition:20.3.2および21.1.0です。容易に悪用できる脆弱性により、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、Java SE、Oracle GraalVM Enterprise Editionを侵害する可能性があります。
この攻撃が成功するには、攻撃者以外の人物の関与が必要です。この脆弱性に対する攻撃が成功すると、Java SE、Oracle GraalVM Enterprise Editionがアクセスできるデータの一部に権限なしで更新アクセス、挿入アクセス、または削除アクセスが行われる可能性があります。注: この脆弱性は、通常、サンドボックス化された Java Web Start アプリケーションまたはサンドボックス化された Java アプレットを実行しているクライアントで信頼できないコード(インターネットからのコードなど)を読み込んで実行し、セキュリティを Java サンドボックスに依存する Java デプロイメントが対象です。この脆弱性は、通常サーバーで信頼できるコード (管理者がインストールしたコードなど) のみを読み込んで実行する Java デプロイメントを対象としていません。(CVE-2021-2369)
- Oracle Java SEのJava SE、Oracle GraalVM Enterprise Edition製品の脆弱性(コンポーネント:
ホットスポット)。サポートされているバージョンで影響を受けるのは、Java SE:8u291、11.0.11、16.0.1とOracle GraalVM Enterprise Edition:20.3.2および21.1.0です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、Java SE、Oracle GraalVM Enterprise Edition を侵害する可能性があります。
この攻撃が成功するには、攻撃者以外の人物の関与が必要です。この脆弱性に対する攻撃が成功すると、Java SE、Oracle GraalVM Enterprise Editionの乗っ取りが発生する可能性があります。注:この脆弱性は、通常、サンドボックス化された Java Web Start アプリケーションまたはサンドボックス化された Java アプレットを実行しているクライアントで信頼できないコード(インターネットからのコードなど)を読み込んで実行し、セキュリティを Java サンドボックスに依存する Java デプロイメントが対象です。この脆弱性は、通常サーバーで信頼できるコード (管理者がインストールしたコードなど) のみを読み込んで実行する Java デプロイメントを対象としていません。(CVE-2021-2388)
- Oracle Java SEのJava SE製品の脆弱性(コンポーネント:JNDI)。サポートされているバージョンで影響を受けるのは、Java SE: 7u301。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、Java SE を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Java SE の部分的なサービス拒否 (部分的 DOS) が権限なしで引き起こされる可能性があります。注: この脆弱性は、通常、サンドボックス化された Java Web Start アプリケーションまたはサンドボックス化された Java アプレットを実行しているクライアントで信頼できないコード(インターネットからのコードなど)を読み込んで実行し、セキュリティを Java サンドボックスに依存する Java デプロイメントが対象です。この脆弱性は、指定されたコンポーネントで API を使用することによって (たとえば API にデータを提供する Web サービスを通して) 悪用される可能性もあります。
(CVE-2021-2432)
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。
ソリューション
Oracle の 2021 年 7 月 20 日の CPU アドバイザリに従って、適切なパッチを適用してください。参考資料
http://www-01.ibm.com/support/docview.wss?uid=swg1IJ34287
http://www-01.ibm.com/support/docview.wss?uid=swg1IJ34292
プラグインの詳細
深刻度: Low
ID: 160373
ファイル名: ibm_java_2021_07_20.nasl
バージョン: 1.4
タイプ: local
エージェント: windows, macosx, unix
ファミリー: Misc.
公開日: 2022/4/29
更新日: 2025/5/28
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: Medium
基本値: 5.1
現状値: 4.2
ベクトル: CVSS2#AV:N/AC:H/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2021-2388
CVSS v3
リスクファクター: Low
基本値: 3.7
現状値: 3.5
ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L
現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C
CVSS スコアのソース: CVE-2021-2432
脆弱性情報
CPE: cpe:/a:ibm:java
必要な KB アイテム: installed_sw/Java
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2021/7/20
脆弱性公開日: 2021/7/20
参照情報
CVE: CVE-2021-2341, CVE-2021-2369, CVE-2021-2388, CVE-2021-2432
IAVA: 2021-A-0327-S