リモートホストにインストールされている IBM Java のバージョンは、7.0 < 7.0.11.0 / 7.1 < 7.1.5.0 / 8.0 < 8.0.6.35 / 11.0 < 11.0.12 より前です。したがって、Oracle の 2021 年 7 月 20 日の CPU アドバイザリに記載されている複数の脆弱性の影響を受けます。

  - Oracle Java SEのJava SE、Oracle GraalVM Enterprise Edition製品の脆弱性 (コンポーネント:
    ネットワーキング)。サポートされているバージョンで影響を受けるのは、Java SE: 7u301、8u291、11.0.11、16.0.1とOracle GraalVM Enterprise Edition:20.3.2および21.1.0です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、Java SE、Oracle GraalVM Enterprise Edition を侵害する可能性があります。この攻撃が成功するには、攻撃者以外の人物の関与が必要です。この脆弱性に対する攻撃が成功すると、Java SE、Oracle GraalVM Enterprise Editionがアクセスできるデータのサブセットに、権限なしで読み取りアクセスが行われる可能性があります。注: この脆弱性は、通常、サンドボックス化された Java Web Start アプリケーションまたはサンドボックス化された Java アプレットを実行しているクライアントで信頼できないコード（インターネットからのコードなど）を読み込んで実行し、セキュリティを Java サンドボックスに依存する Java デプロイメントが対象です。この脆弱性は、通常サーバーで信頼できるコード (管理者がインストールしたコードなど) のみを読み込んで実行する Java デプロイメントを対象としていません。(CVE-2021-2341)

  - Oracle Java SEのJava SE、Oracle GraalVM Enterprise Edition製品の脆弱性（コンポーネント：
    ライブラリ)。サポートされているバージョンで影響を受けるのは、Java SE: 7u301、8u291、11.0.11、16.0.1とOracle GraalVM Enterprise Edition:20.3.2および21.1.0です。容易に悪用できる脆弱性により、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、Java SE、Oracle GraalVM Enterprise Editionを侵害する可能性があります。
    この攻撃が成功するには、攻撃者以外の人物の関与が必要です。この脆弱性に対する攻撃が成功すると、Java SE、Oracle GraalVM Enterprise Editionがアクセスできるデータの一部に権限なしで更新アクセス、挿入アクセス、または削除アクセスが行われる可能性があります。注: この脆弱性は、通常、サンドボックス化された Java Web Start アプリケーションまたはサンドボックス化された Java アプレットを実行しているクライアントで信頼できないコード（インターネットからのコードなど）を読み込んで実行し、セキュリティを Java サンドボックスに依存する Java デプロイメントが対象です。この脆弱性は、通常サーバーで信頼できるコード (管理者がインストールしたコードなど) のみを読み込んで実行する Java デプロイメントを対象としていません。(CVE-2021-2369)

  - Oracle Java SEのJava SE、Oracle GraalVM Enterprise Edition製品の脆弱性（コンポーネント：
    ホットスポット)。サポートされているバージョンで影響を受けるのは、Java SE：8u291、11.0.11、16.0.1とOracle GraalVM Enterprise Edition：20.3.2および21.1.0です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、Java SE、Oracle GraalVM Enterprise Edition を侵害する可能性があります。
    この攻撃が成功するには、攻撃者以外の人物の関与が必要です。この脆弱性に対する攻撃が成功すると、Java SE、Oracle GraalVM Enterprise Editionの乗っ取りが発生する可能性があります。注：この脆弱性は、通常、サンドボックス化された Java Web Start アプリケーションまたはサンドボックス化された Java アプレットを実行しているクライアントで信頼できないコード（インターネットからのコードなど）を読み込んで実行し、セキュリティを Java サンドボックスに依存する Java デプロイメントが対象です。この脆弱性は、通常サーバーで信頼できるコード (管理者がインストールしたコードなど) のみを読み込んで実行する Java デプロイメントを対象としていません。(CVE-2021-2388)

  - Oracle Java SEのJava SE製品の脆弱性（コンポーネント：JNDI)。サポートされているバージョンで影響を受けるのは、Java SE: 7u301。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、Java SE を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Java SE の部分的なサービス拒否 (部分的 DOS) が権限なしで引き起こされる可能性があります。注: この脆弱性は、通常、サンドボックス化された Java Web Start アプリケーションまたはサンドボックス化された Java アプレットを実行しているクライアントで信頼できないコード（インターネットからのコードなど）を読み込んで実行し、セキュリティを Java サンドボックスに依存する Java デプロイメントが対象です。この脆弱性は、指定されたコンポーネントで API を使用することによって (たとえば API にデータを提供する Web サービスを通して) 悪用される可能性もあります。
    (CVE-2021-2432)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

検出

IBM Java 7.0 < 7.0.11.0 / 7.1 < 7.1.5.0 / 8.0 < 8.0.6.35 / 11.0 < 11.0.12 の複数の脆弱性

low Nessus プラグイン ID 160373

バージョン 1.4