検出

Oracle Linux 7 : java-1.8.0-openjdk (ELSA-2024-1817)

low Nessus プラグイン ID 193428

Language:

概要

リモートの Oracle Linux ホストに、1 つ以上のセキュリティ更新プログラムがありません。

説明

リモートの Oracle Linux 7 ホストに、ELSA-2024-1817アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

 [1:1.8.0.412.b08-1]
 - shenandoah-jdk8u412-b08 に更新 (GA)
- shenandoah-8u412-b08 のリリースノートを更新します。
 - Certainly ルーツのリリースノートを完成
 - GA モードに切り替えます。
 - ** この tarball は、2024 年 4 月 16 日午後 1 時 (PT) まで禁止されています。**
 - 関連: RHEL-30926

 [1:1.8.0.412.b07-0.1.ea]
 - shenandoah-jdk8u412-b07 に更新 (EA)
 - shenandoah-8u412-b07 のリリースノートを更新。
 - JDK-8322725 の Upstream インクルードのため、tzdata 2024a が必要
 - 2024a は buildroot で利用できないため、現時点では tzdata 2023d のみが必要
 - 解決: RHEL-30926

 [1:1.8.0.412.b01-0.1.ea]
 - メモリ不足エラーで失敗するため、i686 での xz マルチスレッドをオフにする
 - 空白を正規化
 - 最終的に公式のソースに戻る準備として、Upstream タグスタイル (shenandoah8ux-by) に移行
 - generate_source_tarball.sh: 簡潔にするために JCONSOLE_JS_PATCH{,_DEFAULT} の名前を JCONSOLE_PATCH{,_DEFAULT} に変更する
 - generate_source_tarball.sh: 8u Shenandoah fork で動作するように OPENJDK_LATEST ロジックを適合させる
 - generate_source_tarball.sh: 8u で動作するように、バージョンロジックを適合させる
 - generate_source_tarball.sh: SCRIPT_DIR と JCONSOLE_PATCH の引用を追加 (SC2086)
 - generate_source_tarball.sh: 明瞭にするためにヘッダー内の例を更新
 - generate_source_tarball.sh: WITH_TEMP を使用する際に TMPDIR にディレクトリを作成
 - generate_source_tarball.sh: 非ローカルリポジトリに --depth=1 のみを追加
 - メンテナンススクリプトをスクリプトサブディレクトリに移動
 - icedtea_sync.sh: Mercurial リポジトリからソースを取得する VCS モードで更新
 - jconsole.desktop.in: icedtea_sync.sh を実行することで復元される
 - policytool.desktop.in: 同様です。
 - 仕様ファイルで IcedTea ソースを適切に復元
 - Discover_trees.sh: Emacs 用に compile-command およびインデント命令を設定
 - Discover_trees.sh: shellcheck: -o を使用しない (SC2166)
 - Discover_trees.sh: shellcheck: Bash を使用するために x-prefixes を削除 (SC2268)
 - discover_trees.sh: shellcheck: 二重引用符変数の参照 (SC2086)
 - generate_source_tarball.sh: 権限を追加
 - icedtea_sync.sh: Emacs 用に compile-command およびインデント命令を設定
 - icedtea_sync.sh: shellcheck: 二重引用符変数の参照 (SC2086)
 - icedtea_sync.sh: shellcheck: Bash を使用するために、x-prefixes を削除 (SC2268)
 - openjdk_news.sh: Emacs 用に compile-command およびインデント命令を設定
 - openjdk_news.sh: shellcheck: 二重引用符変数の参照 (SC2086)
 - openjdk_news.sh: shellcheck: Bash を使用するために x-prefixes を削除 (SC2268)
 - openjdk_news.sh: shellcheck: 非推奨の egrep 使用を削除 (SC2196)
 - generate_source_tarball.sh: 既存のチェックアウトを処理
 - generate_source_tarball.sh: インデントを java-21-openjdk バージョンと同期
 - generate_source_tarball.sh: TO_COMPRESS を介してサブディレクトリの使用をサポート
 - 関連: RHEL-30926

 [1:1.8.0.412.b01-0.1.ea]
 - xz をマルチスレッドモードで呼び出します
 - generate_source_tarball.sh: WITH_TEMP 環境変数を追加
 - generate_source_tarball.sh: すべての利用可能なコアで xz をマルチスレッド化
 - generate_source_tarball.sh: OPENJDK_LATEST 環境変数を追加
 - generate_source_tarball.sh: tarball の命名に関するコメントを更新
 - generate_source_tarball.sh: コメントヘッダーをフォーマットし直す
 - generate_source_tarball.sh: ヘルプ出力を再フォーマットおよび更新
 - generate_source_tarball.sh: 速度を優先するために薄いクローンを作成
 - generate_source_tarball.sh: 一部の削除プロンプトを排除
 - generate_source_tarball.sh: tarball を再現できるようにする
 - generate_source_tarball.sh: temp- で一時ディレクトリにプレフィックスを付ける
 - generate_source_tarball.sh: 一時ディレクトリの終了条件を削除
 - generate_source_tarball.sh: Emacs で compile-command を設定
 - generate_source_tarball.sh: FILE_NAME_ROOT から REPO_NAME を削除
 - generate_source_tarball.sh: PROJECT_NAME と REPO_NAME のチェックを移動
 - generate_source_tarball.sh: shellcheck: Bash を使用するために x-prefixes を削除 (SC2268)
 - generate_source_tarball.sh: shellcheck: 二重引用符変数の参照 (SC2086)
 - generate_source_tarball.sh: shellcheck: -a を使用しない (SC2166)
 - generate_source_tarball.sh: shellcheck: 算術変数に $ を使用しない (SC2004)
 - 後方互換性のあるパッチ構文を使用する
 - generate_source_tarball.sh: OPENJDK_LATEST で -ga タグを無視
 - generate_source_tarball.sh: エコーで末尾期間を削除
 - generate_source_tarball.sh: grep に長いスタイルの引数を使用
 - generate_source_tarball.sh: ライセンスを追加
 - generate_source_tarball.sh: Emacs のインデント命令を追加
 - systemtap tar の呼び出しから -T0 引数を削除
 - 関連: RHEL-30926

 [1:1.8.0.412.b01-0.1.ea]
 - shenandoah-jdk8u412-b01 に更新 (EA)
 - shenandoah-8u412-b01 のリリースノートを更新します。
 - EA モードに切り替えます。
 - 関連: RHEL-30926

Tenable は、前述の記述ブロックを Oracle Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://linux.oracle.com/errata/ELSA-2024-1817.html

プラグインの詳細

深刻度: Low

ID: 193428

ファイル名: oraclelinux_ELSA-2024-1817.nasl

バージョン: 1.4

タイプ: local

エージェント: unix

公開日: 2024/4/17

更新日: 2025/9/9

サポートされているセンサー: Continuous Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 2.2

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2024-21094

CVSS v3

リスクファクター: Low

基本値: 3.7

現状値: 3.2

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:oracle:linux:java-1.8.0-openjdk, p-cpe:/a:oracle:linux:java-1.8.0-openjdk-src, p-cpe:/a:oracle:linux:java-1.8.0-openjdk-accessibility, p-cpe:/a:oracle:linux:java-1.8.0-openjdk-demo, p-cpe:/a:oracle:linux:java-1.8.0-openjdk-headless, p-cpe:/a:oracle:linux:java-1.8.0-openjdk-javadoc-zip, cpe:/o:oracle:linux:7, p-cpe:/a:oracle:linux:java-1.8.0-openjdk-devel, p-cpe:/a:oracle:linux:java-1.8.0-openjdk-javadoc

必要な KB アイテム: Host/OracleLinux, Host/RedHat/release, Host/RedHat/rpm-list, Host/local_checks_enabled

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2024/4/17

脆弱性公開日: 2024/4/16

参照情報

CVE: CVE-2024-21011, CVE-2024-21068, CVE-2024-21085, CVE-2024-21094