CentOS 7 : java-1.7.1-ibm (RHSA-2022:0969)
medium Nessus プラグイン ID 208563
Language:
概要
リモートの CentOS Linux ホストに 1 つ以上のセキュリティ更新プログラムが欠落しています。説明
リモートの CentOS Linux 7 ホストに、RHSA-2022:0969 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。- Oracle Java SE の Java SE、Oracle GraalVM Enterprise Edition 製品の脆弱性 (コンポーネント:
JSSE)。影響を受けるサポートされたバージョンは、Java SE: 7u311、8u301、11.0.12、Oracle GraalVM Enterprise Edition: 20.3.3、21.2.0です。悪用が難しい脆弱性ですが、認証されていない攻撃者が TLS を使用してネットワークにアクセスし、Java SE、Oracle GraalVM Enterprise Edition を侵害する可能性があります。この脆弱性による攻撃が成功すると、重要なデータに不正にアクセスしたり、Java SE、Oracle GraalVM Enterprise Edition がアクセスできるすべてのデータに完全にアクセスしたりできる可能性があります。注意: この脆弱性は、通常、サンドボックス化された Java Web Start アプリケーションまたはサンドボックス化された Java アプレットを実行しているクライアントで信頼できないコード (インターネットからのコードなど) を読み込んで実行し、セキュリティを Java サンドボックスに依存する Java デプロイメントが対象です。この脆弱性は、指定されたコンポーネントで API を使用することによって (たとえば API にデータを提供する Web サービスを通して) 悪用される可能性もあります。(CVE-2021-35550)
- Oracle Java SE の Java SE、Oracle GraalVM Enterprise Edition 製品の脆弱性 (コンポーネント:
JSSE)。影響を受けるサポートされたバージョンは、Java SE: 7u311、8u301、11.0.12、17、Oracle GraalVM Enterprise Edition: 20.3.3、21.2.0 です。悪用が難しい脆弱性ですが、認証されていない攻撃者が TLS を使用してネットワークにアクセスし、Java SE、Oracle GraalVM Enterprise Edition を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Java SE、Oracle GraalVM Enterprise Edition がアクセスできるデータのサブセットに、権限なしで読み取りアクセスが行われる可能性があります。注意: この脆弱性は、通常、サンドボックス化された Java Web Start アプリケーションまたはサンドボックス化された Java アプレットを実行しているクライアントで信頼できないコード (インターネットからのコードなど) を読み込んで実行し、セキュリティを Java サンドボックスに依存する Java デプロイメントが対象です。この脆弱性は、指定されたコンポーネントで API を使用することによって (たとえば API にデータを提供する Web サービスを通して) 悪用される可能性もあります。(CVE-2021-35603)
- Oracle Java SE の Oracle Java SE、Oracle GraalVM Enterprise Edition 製品の脆弱性 (コンポーネント: シリアル化)。影響を受けるサポートされたバージョンは、Java SE: 7u321、8u311、11.0.13、17.0.1、Oracle GraalVM Enterprise Edition: 20.3.4、21.3.0 です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、Oracle Java SE、Oracle GraalVM Enterprise Edition を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Oracle Java SE、Oracle GraalVM Enterprise Edition がアクセスできるデータの一部に権限なしで更新アクセス、挿入アクセス、または削除アクセスが行われる可能性があります。注意: この脆弱性は、通常、サンドボックス化された Java Web Start アプリケーションまたはサンドボックス化された Java アプレットを実行しているクライアントで信頼できないコード (インターネットからのコードなど) を読み込んで実行し、セキュリティを Java サンドボックスに依存する Java デプロイメントが対象です。この脆弱性は、指定されたコンポーネントで API を使用することによって (たとえば API にデータを提供する Web サービスを通して) 悪用される可能性もあります。
(CVE-2022-21248)
- Oracle Java SE の Oracle Java SE、Oracle GraalVM Enterprise Edition 製品の脆弱性 (コンポーネント: ライブラリ)。影響を受けるサポートされたバージョンは、Java SE: 7u321、8u311、11.0.13、17.0.1、Oracle GraalVM Enterprise Edition: 20.3.4、21.3.0 です。容易に悪用できる脆弱性により、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、Oracle Java SE、Oracle GraalVM Enterprise Edition を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Oracle Java SE、Oracle GraalVM Enterprise Edition の部分的なサービス拒否 (部分的 DOS) が権限なしで引き起こされる可能性があります。
注意: この脆弱性は、通常、サンドボックス化された Java Web Start アプリケーションまたはサンドボックス化された Java アプレットを実行しているクライアントで信頼できないコード (インターネットからのコードなど) を読み込んで実行し、セキュリティを Java サンドボックスに依存する Java デプロイメントが対象です。この脆弱性は、指定されたコンポーネントで API を使用することによって (たとえば API にデータを提供する Web サービスを通して) 悪用される可能性もあります。
(CVE-2022-21293、CVE-2022-21294、CVE-2022-21340)
- Oracle Java SE の Oracle Java SE、Oracle GraalVM Enterprise Edition 製品の脆弱性 (コンポーネント: シリアル化)。影響を受けるサポートされたバージョンは、Java SE: 7u321、8u311、11.0.13、17.0.1、Oracle GraalVM Enterprise Edition: 20.3.4、21.3.0 です。容易に悪用できる脆弱性により、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、Oracle Java SE、Oracle GraalVM Enterprise Edition を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Oracle Java SE、Oracle GraalVM Enterprise Edition の部分的なサービス拒否 (部分的 DOS) が権限なしで引き起こされる可能性があります。注意: この脆弱性は、通常、サンドボックス化された Java Web Start アプリケーションまたはサンドボックス化された Java アプレットを実行しているクライアントで信頼できないコード (インターネットからのコードなど) を読み込んで実行し、セキュリティを Java サンドボックスに依存する Java デプロイメントが対象です。この脆弱性は、指定されたコンポーネントで API を使用することによって (たとえば API にデータを提供する Web サービスを通して) 悪用される可能性もあります。
(CVE-2022-21341)
- Oracle Java SE の Oracle Java SE、Oracle GraalVM Enterprise Edition 製品の脆弱性 (コンポーネント: ImageIO)。影響を受けるサポートされたバージョンは、Java SE: 7u321、8u311、11.0.13、17.0.1、Oracle GraalVM Enterprise Edition: 20.3.4、21.3.0 です。容易に悪用できる脆弱性により、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、Oracle Java SE、Oracle GraalVM Enterprise Edition を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Oracle Java SE、Oracle GraalVM Enterprise Edition の部分的なサービス拒否 (部分的 DOS) が権限なしで引き起こされる可能性があります。
注意: この脆弱性は、通常、サンドボックス化された Java Web Start アプリケーションまたはサンドボックス化された Java アプレットを実行しているクライアントで信頼できないコード (インターネットからのコードなど) を読み込んで実行し、セキュリティを Java サンドボックスに依存する Java デプロイメントが対象です。この脆弱性は、指定されたコンポーネントで API を使用することによって (たとえば API にデータを提供する Web サービスを通して) 悪用される可能性もあります。
(CVE-2022-21360, CVE-2022-21365)
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。
ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: Medium
ID: 208563
ファイル名: centos_RHSA-2022-0969.nasl
バージョン: 1.1
タイプ: local
エージェント: unix
ファミリー: CentOS Local Security Checks
公開日: 2024/10/9
更新日: 2024/10/9
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 4.4
Vendor
Vendor Severity: Moderate
CVSS v2
リスクファクター: High
基本値: 7.1
現状値: 5.6
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:N/A:N
CVSS スコアのソース: CVE-2021-35550
CVSS v3
リスクファクター: Medium
基本値: 5.9
現状値: 5.3
ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:centos:centos:java-1.7.1-ibm, cpe:/o:centos:centos:7, p-cpe:/a:centos:centos:java-1.7.1-ibm-devel, p-cpe:/a:centos:centos:java-1.7.1-ibm-demo, p-cpe:/a:centos:centos:java-1.7.1-ibm-jdbc, p-cpe:/a:centos:centos:java-1.7.1-ibm-src, p-cpe:/a:centos:centos:java-1.7.1-ibm-plugin
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/CentOS/release, Host/CentOS/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2022/3/21
脆弱性公開日: 2021/10/19
参照情報
CVE: CVE-2021-35550, CVE-2021-35603, CVE-2022-21248, CVE-2022-21293, CVE-2022-21294, CVE-2022-21340, CVE-2022-21341, CVE-2022-21360, CVE-2022-21365
RHSA: 2022:0969