Amazon Linux AMI:java-1.8.0-openjdk (ALAS-2022-1631)
high Nessus プラグイン ID 164358
Language:
概要
リモートのAmazon Linux AMIホストに、セキュリティ更新プログラムがありません。説明
リモートホストにインストールされている java-1.8.0-openjdk のバージョンは、1.8.0.342.b07-0.68 より前です。したがって、ALAS-2022-1631 のアドバイザリに記載されている複数の脆弱性の影響を受けます。- Oracle Java SE の Oracle Java SE、Oracle GraalVM Enterprise Edition 製品の脆弱性 (コンポーネント: シリアル化 )。サポートされているバージョンで影響を受けるのは、Oracle Java SE:7u321, 8u311, 11.0.13, 17.01; Oracle GraalVM Enterprise Edition:20.3.4および21.3.0です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、Oracle Java SE、Oracle GraalVM Enterprise Edition を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Oracle Java SE、Oracle GraalVM Enterprise Edition がアクセスできるデータの一部に権限なしで更新アクセス、挿入アクセス、または削除アクセスが行われる可能性があります。注: この脆弱性は、通常、サンドボックス化された Java Web Start アプリケーションまたはサンドボックス化された Java アプレットを実行しているクライアントで信頼できないコード (インターネットからのコードなど) を読み込んで実行し、セキュリティを Java サンドボックスに依存する Java デプロイメントが対象です。この脆弱性は、指定されたコンポーネントで API を使用することによって (たとえば API にデータを提供する Web サービスを通して) 悪用される可能性もあります。CVSS 3.1ベーススコア3.7 (整合性への影響 ) CVSS Vector: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N)。
(CVE-2022-21248) (CVE-2022-21248、CVE-2022-21282、CVE-2022-21283、CVE-2022-21293、CVE-2022-21294、CVE-2022-21296、CVE-2022-21299、CVE-2022-21305、CVE-2022-21340、CVE-2022-21341、CVE-2022-21349、CVE-2022-21360、CVE-2022-21365、CVE-2022-21426、CVE-2022-21434、CVE-2022-21443、CVE-2022-21476、CVE-2022-21496、CVE-2022-21540、CVE-2022-21541、CVE-2022-34169)
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。
ソリューション
「yum update java-1.8.0-openjdk」を実行してシステムを更新してください。参考資料
https://alas.aws.amazon.com/ALAS-2022-1631.html
https://alas.aws.amazon.com/cve/html/CVE-2022-21248.html
https://alas.aws.amazon.com/cve/html/CVE-2022-21282.html
https://alas.aws.amazon.com/cve/html/CVE-2022-21283.html
https://alas.aws.amazon.com/cve/html/CVE-2022-21293.html
https://alas.aws.amazon.com/cve/html/CVE-2022-21294.html
https://alas.aws.amazon.com/cve/html/CVE-2022-21296.html
https://alas.aws.amazon.com/cve/html/CVE-2022-21299.html
https://alas.aws.amazon.com/cve/html/CVE-2022-21305.html
https://alas.aws.amazon.com/cve/html/CVE-2022-21340.html
https://alas.aws.amazon.com/cve/html/CVE-2022-21341.html
https://alas.aws.amazon.com/cve/html/CVE-2022-21349.html
https://alas.aws.amazon.com/cve/html/CVE-2022-21360.html
https://alas.aws.amazon.com/cve/html/CVE-2022-21365.html
https://alas.aws.amazon.com/cve/html/CVE-2022-21426.html
https://alas.aws.amazon.com/cve/html/CVE-2022-21434.html
https://alas.aws.amazon.com/cve/html/CVE-2022-21443.html
https://alas.aws.amazon.com/cve/html/CVE-2022-21476.html
https://alas.aws.amazon.com/cve/html/CVE-2022-21496.html
https://alas.aws.amazon.com/cve/html/CVE-2022-21540.html
プラグインの詳細
深刻度: High
ID: 164358
ファイル名: ala_ALAS-2022-1631.nasl
バージョン: 1.6
タイプ: local
エージェント: unix
公開日: 2022/8/23
更新日: 2023/3/23
サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 4.4
CVSS v2
リスクファクター: Medium
基本値: 5
現状値: 3.9
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N
CVSS スコアのソース: CVE-2022-21496
CVSS v3
リスクファクター: High
基本値: 7.5
現状値: 6.7
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
CVSS スコアのソース: CVE-2022-34169
脆弱性情報
CPE: p-cpe:/a:amazon:linux:java-1.8.0-openjdk, p-cpe:/a:amazon:linux:java-1.8.0-openjdk-debuginfo, p-cpe:/a:amazon:linux:java-1.8.0-openjdk-demo, p-cpe:/a:amazon:linux:java-1.8.0-openjdk-devel, p-cpe:/a:amazon:linux:java-1.8.0-openjdk-headless, p-cpe:/a:amazon:linux:java-1.8.0-openjdk-javadoc, p-cpe:/a:amazon:linux:java-1.8.0-openjdk-javadoc-zip, p-cpe:/a:amazon:linux:java-1.8.0-openjdk-src, cpe:/o:amazon:linux
必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2022/8/15
脆弱性公開日: 2022/8/15
参照情報
CVE: CVE-2022-21248, CVE-2022-21282, CVE-2022-21283, CVE-2022-21293, CVE-2022-21294, CVE-2022-21296, CVE-2022-21299, CVE-2022-21305, CVE-2022-21340, CVE-2022-21341, CVE-2022-21349, CVE-2022-21360, CVE-2022-21365, CVE-2022-21426, CVE-2022-21434, CVE-2022-21443, CVE-2022-21476, CVE-2022-21496, CVE-2022-21540, CVE-2022-21541, CVE-2022-34169