CentOS 6:java-1.8.0-ibm(RHSA-2020:2239)
high Nessus プラグイン ID 208485
Language:
概要
リモートの CentOS Linux ホストに 1 つ以上のセキュリティ更新プログラムが欠落しています。説明
リモートの CentOS Linux 6 ホストには、 RHSA-2020:2239 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。- Java SE、Oracle Java SE の Java SE Embedded 製品の脆弱性 (コンポーネント: Kerberos)。サポートされているバージョンで影響を受けるのは、Java SE: 7u231、8u221、11.0.4、13、Java SE Embedded: 8u221です。悪用が難しい脆弱性ですが、認証されていない攻撃者が Kerberos を介してネットワークにアクセスし、Java SE、Java SE Embedded を侵害する可能性があります。この脆弱性は Java SE、Java SE Embedded にありますが、攻撃によって他の製品にも大きな影響が出る可能性があります。この脆弱性による攻撃が成功すると、重要なデータに不正にアクセスしたり、Java SE、Java SE Embeddedがアクセスできるすべてのデータに完全にアクセスしたりできる可能性があります。注意:この脆弱性が該当するのは、通常サンドボックス化された Java Web Start アプリケーションまたはサンドボックス化された Java アプレットを (Java SE 8で) 実行しているクライアントで、信頼できないコード (インターネットからのコードなど) を読み込んで実行し、セキュリティについては Java サンドボックスに依存している Java デプロイメントです。この脆弱性は、指定されたコンポーネントで API を使用することによって (たとえば API にデータを提供する Web サービスを通して) 悪用される可能性もあります。(CVE-2019-2949)
- Oracle Java SE の Java SE、Java SE 製品の脆弱性 (コンポーネント: ライブラリ)。サポートされているバージョンで影響を受けるのは、Java SE: 7u241、8u231、11.0.5、13.0.1 です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、Java SE を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Java SE の部分的なサービス拒否 (部分的 DOS) が権限なしで引き起こされる可能性があります。注意: この脆弱性は、信頼できない Java Web Start アプリケーションや信頼できない Java アプレット (Web サービスなど) を使用しなくても、特定のコンポーネントの API にデータを提供するだけで悪用される可能性があります。(CVE-2020-2654)
- Oracle Java SE の Java SE、Java SE Embedded 製品の脆弱性 (コンポーネント: スクリプティング)。サポートされているバージョンで影響を受けるのは、Java SE: 8u241、11.0.6、14、Java SE Embedded: 8u241 です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE、Java SE Embedded を侵害する可能性があります。この脆弱性への攻撃が成功すると、Java SE および Java SE Embedded の部分的なサービス拒否 (部分的 DOS) が権限なしで引き起こされる可能性があります。注意: クライアントとサーバーへの Java のデプロイメントが対象です。この脆弱性は、サンドボックス化された Java Web Start アプリケーションと Java アプレットを通じて悪用される可能性があります。これは、Web サービスを経由するなどして、サンドボックス化された Java Web Start アプリケーションやサンドボックス化された Java アプレットを使用せずに、指定されたコンポーネントの API にデータを提供することでも、悪用される可能性があります。(CVE-2020-2754、CVE-2020-2755)
- Oracle Java SE の Java SE、Java SE Embedded 製品の脆弱性 (コンポーネント: シリアル化)。
サポートされているバージョンで影響を受けるのは、Java SE: 7u251、8u241、11.0.6、14、Java SE Embedded: 8u241 です。
悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE、Java SE Embedded を侵害する可能性があります。この脆弱性への攻撃が成功すると、Java SE および Java SE Embedded の部分的なサービス拒否 (部分的 DOS) が権限なしで引き起こされる可能性があります。
注意: クライアントとサーバーへの Java のデプロイメントが対象です。この脆弱性は、サンドボックス化された Java Web Start アプリケーションと Java アプレットを通じて悪用される可能性があります。これは、Web サービスを経由するなどして、サンドボックス化された Java Web Start アプリケーションやサンドボックス化された Java アプレットを使用せずに、指定されたコンポーネントの API にデータを提供することでも、悪用される可能性があります。(CVE-2020-2756、CVE-2020-2757)
- Oracle Java SE の Java SE、Java SE Embedded 製品の脆弱性 (コンポーネント: JSSE)。サポートされているバージョンで影響を受けるのは、Java SE: 7u251、8u241、11.0.6、14、Java SE Embedded: 8u241 です。容易に悪用可能な脆弱性を利用して、認証されていない攻撃者が HTTPS を介してネットワークにアクセスし、Java SE や Java SE Embedded を侵害する可能性があります。この脆弱性への攻撃が成功すると、Java SE および Java SE Embedded の部分的なサービス拒否 (部分的 DOS) が権限なしで引き起こされる可能性があります。注意: クライアントとサーバーへの Java のデプロイメントが対象です。この脆弱性は、サンドボックス化された Java Web Start アプリケーションと Java アプレットを通じて悪用される可能性があります。また、サンドボックス化された Java Web Start アプリケーションやサンドボックス化された Java アプレット (Web サービスなど ) を使用せずに、指定されたコンポーネントの API にデータを提供することでも悪用されます。(CVE-2020-2781)
- Oracle Java SE の Java SE、Java SE Embedded 製品の脆弱性 (コンポーネント: Lightweight HTTP Server)。サポートされているバージョンで影響を受けるのは、Java SE: 7u251、8u241、11.0.6、14、Java SE Embedded:
8u241 です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE、Java SE Embedded を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Java SE、Java SE Embedded がアクセス可能な一部のデータが権限なしで更新、挿入または削除され、Java SE、Java SE Embedded がアクセス可能なデータサブセットへの権限のない読み取りアクセスが可能になる可能性があります。注意: この脆弱性は、信頼できない Java Web Start アプリケーションや信頼できない Java アプレット (Web サービスなど) を使用しなくても、特定のコンポーネントの API にデータを提供するだけで悪用される可能性があります。
(CVE-2020-2800)
- Oracle Java SE の Java SE、Java SE Embedded 製品の脆弱性 (コンポーネント: ライブラリ)。サポートされているバージョンで影響を受けるのは、Java SE: 7u251、8u241、11.0.6、14、Java SE Embedded: 8u241 です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE、Java SE Embedded を侵害する可能性があります。攻撃を成功させるには攻撃者以外の人間の関与が必要であり、脆弱性が存在するのは Java SE、Java SE Embedded であるものの、攻撃が他の製品に大きな影響を与える可能性があります。この脆弱性に対する攻撃が成功すると、Java SE および Java SE Embedded の乗っ取りが発生する可能性があります。注意: この脆弱性は、通常、サンドボックス化された Java Web Start アプリケーションまたはサンドボックス化された Java アプレットを実行しているクライアントで信頼できないコード (インターネットからのコードなど) を読み込んで実行し、セキュリティを Java サンドボックスに依存する Java デプロイメントが対象です。この脆弱性は、通常サーバーで信頼できるコード (管理者がインストールしたコードなど ) のみを読み込んで実行する Java デプロイメントを対象としていません。(CVE-2020-2803、CVE-2020-2805)
- Oracle Java SE の Java SE、Java SE Embedded 製品の脆弱性 (コンポーネント: 同時実行性)。
サポートされているバージョンで影響を受けるのは、Java SE: 7u251、8u241、11.0.6、14、Java SE Embedded: 8u241 です。
容易に悪用可能な脆弱性を利用して、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE や Java SE Embedded を侵害する可能性があります。この脆弱性への攻撃が成功すると、Java SE および Java SE Embedded の部分的なサービス拒否 (部分的 DOS) が権限なしで引き起こされる可能性があります。
注意: クライアントとサーバーへの Java のデプロイメントが対象です。この脆弱性は、サンドボックス化された Java Web Start アプリケーションと Java アプレットを通じて悪用される可能性があります。また、サンドボックス化された Java Web Start アプリケーションやサンドボックス化された Java アプレット (Web サービスなど ) を使用せずに、指定されたコンポーネントの API にデータを提供することでも悪用されます。(CVE-2020-2830)
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: High
ID: 208485
ファイル名: centos_RHSA-2020-2239.nasl
バージョン: 1.1
タイプ: local
エージェント: unix
ファミリー: CentOS Local Security Checks
公開日: 2024/10/9
更新日: 2024/10/9
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: High
スコア: 7.3
CVSS v2
リスクファクター: Medium
基本値: 5.8
現状値: 4.3
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N
CVSS スコアのソース: CVE-2020-2800
CVSS v3
リスクファクター: High
基本値: 8.3
現状値: 7.2
ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
CVSS スコアのソース: CVE-2020-2805
脆弱性情報
CPE: p-cpe:/a:centos:centos:java-1.8.0-ibm-demo, cpe:/o:centos:centos:6, p-cpe:/a:centos:centos:java-1.8.0-ibm-devel, p-cpe:/a:centos:centos:java-1.8.0-ibm-plugin, p-cpe:/a:centos:centos:java-1.8.0-ibm-jdbc, p-cpe:/a:centos:centos:java-1.8.0-ibm-src, p-cpe:/a:centos:centos:java-1.8.0-ibm
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/CentOS/release, Host/CentOS/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2020/5/20
脆弱性公開日: 2019/10/15
参照情報
CVE: CVE-2019-2949, CVE-2020-2654, CVE-2020-2754, CVE-2020-2755, CVE-2020-2756, CVE-2020-2757, CVE-2020-2781, CVE-2020-2800, CVE-2020-2803, CVE-2020-2805, CVE-2020-2830
RHSA: 2020:2239