Rocky Linux 8 java-1.8.0-openjdk RLSA-2023:4176
low Nessus プラグイン ID 179465
Language:
概要
リモートの Rocky Linux ホストに、1 つ以上のセキュリティ更新がありません。説明
リモートのRocky Linux 8ホストには、RLSA-2023:4176アドバイザリに記載されているとおり、複数の脆弱性の影響を受けるパッケージがインストールされています。- Oracle Java SE、Oracle GraalVM Enterprise Edition、Oracle Java SE の Oracle GraalVM for JDK 製品の脆弱性 (コンポーネント: ホットスポット)。影響を受けるサポートされたバージョンは、Oracle Java SE: 8u371、8u371-perf、11.0.19、17.0.7、20.0.1、Oracle GraalVM Enterprise Edition: 20.3.10、21.3.6、22.3.2、Oracle GraalVM for JDK: 17.0.7 および 20.0.1 です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、Oracle Java SE、Oracle GraalVM Enterprise Edition、Oracle GraalVM for JDK を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Oracle Java SE、Oracle GraalVM Enterprise Edition、Oracle GraalVM for JDK がアクセスできるデータのサブセットに、権限なしで読み取りアクセスが行われる可能性があります。注意: この脆弱性は、指定されたコンポーネントで API を使用することによって (たとえば API にデータを提供する Web サービスを通して) 悪用される可能性があります。この脆弱性は、通常、サンドボックス化された Java Web Start アプリケーションまたはサンドボックス化された Java アプレットを実行しているクライアントで信頼できないコード (インターネットからのコードなど) を読み込んで実行し、セキュリティを Java サンドボックスに依存する Java デプロイメントも対象です。(CVE-2023-22045)
- Oracle Java SE、Oracle GraalVM Enterprise Edition、Oracle Java SE の Oracle GraalVM for JDK 製品の脆弱性 (コンポーネント: ライブラリ)。影響を受けるサポートされたバージョンは、Oracle Java SE: 8u371、8u371-perf、11.0.19、17.0.7、20.0.1、Oracle GraalVM Enterprise Edition: 20.3.10、21.3.6、22.3.2、Oracle GraalVM for JDK: 17.0.7 および 20.0.1 です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、Oracle Java SE、Oracle GraalVM Enterprise Edition、Oracle GraalVM for JDK を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Oracle Java SE、Oracle GraalVM Enterprise Edition、Oracle GraalVM for JDK がアクセスできるデータの一部に権限なしで更新アクセス、挿入アクセス、または削除アクセスが行われる可能性があります。注意: この脆弱性は、指定されたコンポーネントで API を使用することによって (たとえば API にデータを提供する Web サービスを通して) 悪用される可能性があります。この脆弱性は、通常、サンドボックス化された Java Web Start アプリケーションまたはサンドボックス化された Java アプレットを実行しているクライアントで信頼できないコード (インターネットからのコードなど) を読み込んで実行し、セキュリティを Java サンドボックスに依存する Java デプロイメントも対象です。(CVE-2023-22049)
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるパッケージを更新してください。参考資料
https://errata.rockylinux.org/RLSA-2023:4176
https://bugzilla.redhat.com/show_bug.cgi?id=2219727
プラグインの詳細
深刻度: Low
ID: 179465
ファイル名: rocky_linux_RLSA-2023-4176.nasl
バージョン: 1.0
タイプ: local
公開日: 2023/8/8
更新日: 2023/8/8
サポートされているセンサー: Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 2.2
CVSS v2
リスクファクター: Low
基本値: 2.6
現状値: 1.9
ベクトル: CVSS2#AV:N/AC:H/Au:N/C:N/I:P/A:N
CVSS スコアのソース: CVE-2023-22049
CVSS v3
リスクファクター: Low
基本値: 3.7
現状値: 3.2
ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:rocky:linux:java-1.8.0-openjdk-devel-debuginfo, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-fastdebug, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-headless-slowdebug, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-headless-debuginfo, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-accessibility-slowdebug, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-src-fastdebug, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-slowdebug, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-devel, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-slowdebug-debuginfo, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-demo, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-devel-fastdebug-debuginfo, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-demo-fastdebug, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-devel-fastdebug, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-demo-debuginfo, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-accessibility, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-src-slowdebug, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-headless-fastdebug-debuginfo, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-demo-fastdebug-debuginfo, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-accessibility-fastdebug, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-debuginfo, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-devel-slowdebug, p-cpe:/a:rocky:linux:java-1.8.0-openjdk, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-debugsource, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-src, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-javadoc, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-javadoc-zip, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-demo-slowdebug-debuginfo, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-headless, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-headless-slowdebug-debuginfo, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-devel-slowdebug-debuginfo, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-demo-slowdebug, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-fastdebug-debuginfo, cpe:/o:rocky:linux:8, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-headless-fastdebug
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/RockyLinux/release, Host/RockyLinux/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2023/8/8
脆弱性公開日: 2023/7/18
参照情報
CVE: CVE-2023-22045, CVE-2023-22049