AlmaLinux 9 java-17-openjdk ALSA-2024:0267
high Nessus プラグイン ID 189259
Language:
概要
リモートの AlmaLinux ホストに、1 つ以上のセキュリティ更新がありません。説明
リモートのAlmaLinux 9ホストには、ALSA-2024:0267アドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。- Oracle Java SE の Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition 製品の脆弱性 (コンポーネント: ホットスポット)。影響を受けるサポートされたバージョンは、Java SE: 8u391、8u391-perf、11.0.21、17.0.9、21.0.1、Oracle GraalVM for JDK:、17.0.921.0.1、Oracle GraalVM Enterprise Edition:、20.3.1221.3.8、22.3.4 です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、重要なデータや Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition がアクセスできるすべてのデータが権限なしで作成、削除、変更される可能性があるとともに、権限なしで重要なデータにアクセスできるようになったり、Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition がアクセスできるすべてのデータに完全にアクセスできるようになったりする可能性があります。
注意: この脆弱性は、指定されたコンポーネントで API を使用することによって (たとえば API にデータを提供する Web サービスを通して) 悪用される可能性があります。この脆弱性は、通常、サンドボックス化された Java Web Start アプリケーションまたはサンドボックス化された Java アプレットを実行しているクライアントで信頼できないコード (インターネットからのコードなど) を読み込んで実行し、セキュリティを Java サンドボックスに依存する Java デプロイメントも対象です。
(CVE-2024-20918)
- Oracle Java SE の Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition 製品の脆弱性 (コンポーネント: セキュリティ)。サポートされているバージョンで影響を受けるのは、Oracle Java SE: 17.0.9;
Oracle GraalVM for JDK: 17.0.9、Oracle GraalVM Enterprise Edition: 21.3.8、22.3.4 です。容易に悪用できる脆弱性により、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、重要なデータや Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition がアクセスできるすべてのデータが権限なしで作成、削除、変更される可能性があります。注意: この脆弱性は、通常、サンドボックス化された Java Web Start アプリケーションまたはサンドボックス化された Java アプレットを実行しているクライアントで信頼できないコード (インターネットからのコードなど) を読み込んで実行し、セキュリティを Java サンドボックスに依存する Java デプロイメントが対象です。この脆弱性は、通常サーバーで信頼できるコード (管理者がインストールしたコードなど) のみを読み込んで実行する Java デプロイメントを対象としていません。(CVE-2024-20932)
- Oracle Java SE の Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition 製品の脆弱性 (コンポーネント: セキュリティ)。影響を受けるサポートされたバージョンは、Java SE: 8u391、8u391-perf、11.0.21、17.0.9、21.0.1、Oracle GraalVM for JDK:、17.0.921.0.1、Oracle GraalVM Enterprise Edition:、20.3.1221.3.8、22.3.4 です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、重要なデータや Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition がアクセスできるすべてのデータが権限なしで作成、削除、変更される可能性があるとともに、権限なしで重要なデータにアクセスできるようになったり、Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition がアクセスできるすべてのデータに完全にアクセスできるようになったりする可能性があります。
注意: この脆弱性は、通常、サンドボックス化された Java Web Start アプリケーションまたはサンドボックス化された Java アプレットを実行しているクライアントで信頼できないコード (インターネットからのコードなど) を読み込んで実行し、セキュリティを Java サンドボックスに依存する Java デプロイメントが対象です。この脆弱性は、通常サーバーで信頼できるコード (管理者がインストールしたコードなど) のみを読み込んで実行する Java デプロイメントを対象としていません。(CVE-2024-20952)
- 脆弱性により、オプション --no-java が設定されている場合でも、攻撃者は javascript エンジンから任意の Java コードを実行できます。(CVE-2024-20918) (CVE-2024-20919、CVE-2024-20921、CVE-2024-20945)
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: High
ID: 189259
ファイル名: alma_linux_ALSA-2024-0267.nasl
バージョン: 1.0
タイプ: local
公開日: 2024/1/20
更新日: 2024/1/20
サポートされているセンサー: Nessus Agent, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.0
CVSS v2
リスクファクター: High
基本値: 7.8
現状値: 5.8
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:C/A:N
CVSS スコアのソース: CVE-2024-20932
CVSS v3
リスクファクター: High
基本値: 7.5
現状値: 6.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/o:alma:linux:9::baseos, p-cpe:/a:alma:linux:java-17-openjdk-fastdebug, cpe:/o:alma:linux:9::supplementary, p-cpe:/a:alma:linux:java-17-openjdk-static-libs-slowdebug, p-cpe:/a:alma:linux:java-17-openjdk-static-libs-fastdebug, cpe:/o:alma:linux:9::highavailability, cpe:/o:alma:linux:9::sap, cpe:/o:alma:linux:9::appstream, p-cpe:/a:alma:linux:java-17-openjdk-slowdebug, p-cpe:/a:alma:linux:java-17-openjdk-demo, p-cpe:/a:alma:linux:java-17-openjdk-demo-fastdebug, p-cpe:/a:alma:linux:java-17-openjdk-jmods-slowdebug, cpe:/o:alma:linux:9::sap_hana, p-cpe:/a:alma:linux:java-17-openjdk-devel, p-cpe:/a:alma:linux:java-17-openjdk-demo-slowdebug, p-cpe:/a:alma:linux:java-17-openjdk-jmods-fastdebug, cpe:/o:alma:linux:9::resilientstorage, p-cpe:/a:alma:linux:java-17-openjdk-src-slowdebug, p-cpe:/a:alma:linux:java-17-openjdk-devel-slowdebug, p-cpe:/a:alma:linux:java-17-openjdk, p-cpe:/a:alma:linux:java-17-openjdk-src, cpe:/o:alma:linux:9::nfv, cpe:/o:alma:linux:9::realtime, cpe:/o:alma:linux:9, p-cpe:/a:alma:linux:java-17-openjdk-headless-fastdebug, p-cpe:/a:alma:linux:java-17-openjdk-static-libs, p-cpe:/a:alma:linux:java-17-openjdk-devel-fastdebug, p-cpe:/a:alma:linux:java-17-openjdk-javadoc, p-cpe:/a:alma:linux:java-17-openjdk-src-fastdebug, p-cpe:/a:alma:linux:java-17-openjdk-headless, cpe:/o:alma:linux:9::crb, p-cpe:/a:alma:linux:java-17-openjdk-headless-slowdebug, p-cpe:/a:alma:linux:java-17-openjdk-jmods, p-cpe:/a:alma:linux:java-17-openjdk-javadoc-zip
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/AlmaLinux/release, Host/AlmaLinux/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2024/1/17
脆弱性公開日: 2024/1/16
参照情報
CVE: CVE-2024-20918, CVE-2024-20919, CVE-2024-20921, CVE-2024-20932, CVE-2024-20945, CVE-2024-20952