リモートの Ubuntu 16.04 ESM / 18.04 ESM / 20.04 LTS / 22.04 LTS / 23.10 ホストには、USN-6528-1 アドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

  - Oracle JDK (HotSpot VM) 11、17 および OpenJDK (HotSpot VM) 8、11、17 の ciMethodBlocks: : make_block_at 関数で検出された問題により、攻撃者がサービス拒否を引き起こす可能性があります。(CVE-2022-40433)

  - Oracle Java SE の Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition 製品の脆弱性 (コンポーネント: ホットスポット)。サポートされているバージョンで影響を受けるのは、Oracle Java SE: 8u381-perf、17.0.8、21。Oracle GraalVM for JDK:17.0.8、21。Oracle GraalVM Enterprise Edition:21.3.7 および 22.3.3 です。
    悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition を侵害する可能性があります。
    この脆弱性に対する攻撃が成功すると、Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition がアクセスできるデータの一部に権限なしで更新アクセス、挿入アクセス、または削除アクセスが行われる可能性があります。注意: 
    この脆弱性は、指定されたコンポーネントで API を使用することによって (例えば API にデータを提供する Web サービスを通して) 悪用される可能性があります。この脆弱性は、通常、サンドボックス化された Java Web Start アプリケーションまたはサンドボックス化された Java アプレットを実行しているクライアントで信頼できないコード (インターネットからのコードなど) を読み込んで実行し、セキュリティを Java サンドボックスに依存する Java デプロイメントも対象です。(CVE-2023-22025)

  - Oracle Java SE の Oracle Java SE、Oracle GraalVM Enterprise Edition 製品の脆弱性 (コンポーネント:  CORBA)。サポートされているバージョンで影響を受けるのは、Oracle Java SE: 8u381、8u381-perf。Oracle GraalVM Enterprise Edition:20.3.11 および 21.3.7 です。容易に悪用できる脆弱性により、認証されていない攻撃者が CORBA を使用してネットワークにアクセスし、Oracle Java SE、Oracle GraalVM Enterprise Edition を侵害する可能性があります。
    この脆弱性に対する攻撃が成功すると、Oracle Java SE、Oracle GraalVM Enterprise Edition がアクセスできるデータの一部に権限なしで更新アクセス、挿入アクセス、または削除アクセスが行われる可能性があります。注意:  この脆弱性は、信頼できない Java Web Start アプリケーションや信頼できない Java アプレットを、例えば Web サービスを介して使用せずに、指定されたコンポーネントの API にデータを提供することでのみ悪用される可能性があります。(CVE-2023-22067)

  - Oracle Java SE の Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition 製品の脆弱性 (コンポーネント: JSSE)。サポートされているバージョンで影響を受けるのは、Oracle Java SE: 8u381、8u381-perf、11.0.20、17.0.8、21。Oracle GraalVM for JDK:17.0.8、21。Oracle GraalVM Enterprise Edition:
    20.3.11、21.3.7、および 22.3.3です。容易に悪用できる脆弱性により、認証されていない攻撃者が HTTPS を使用してネットワークにアクセスし、Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition を侵害する可能性があります。
    この脆弱性に対する攻撃が成功すると、Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition の部分的なサービス拒否 (部分的 DOS) が権限なしで引き起こされる可能性があります。注意: 
    この脆弱性は、通常、サンドボックス化された Java Web Start アプリケーションまたはサンドボックス化された Java アプレットを実行しているクライアントで信頼できないコード (インターネットからのコードなど) を読み込んで実行し、セキュリティを Java サンドボックスに依存する Java デプロイメントが対象です。この脆弱性は、通常サーバーで信頼できるコード (管理者がインストールしたコードなど) のみを読み込んで実行する Java デプロイメントを対象としていません。(CVE-2023-22081)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

検出

Ubuntu 16.04 ESM / 18.04 ESM / 20.04 LTS / 22.04 LTS / 23.04 / 23.10 : OpenJDK 8 の脆弱性 (USN-6528-1)

medium Nessus プラグイン ID 186448

バージョン 1.2