検出

Oracle Java SE の複数の脆弱性 (2024 年 10 月 CPU)

medium Nessus プラグイン ID 209282

Language:

概要

リモートホストは、複数の脆弱性の影響を受けます

説明

リモートホストにインストールされている Java のバージョンは、2024 年 10 月の CPU アドバイザリに記載されている複数の脆弱性の影響を受けます。

 - Oracle Java SE の Oracle GraalVM for JDK 製品の脆弱性 (コンポーネント: Node (Node.js))。影響を受けるサポートされたバージョンは Oracle GraalVM for JDK: 17.0.12、21.0.4、23 です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、Oracle GraalVM for JDK を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Oracle GraalVM for JDK の乗っ取りが発生する可能性があります。(CVE-2024-36138)

 - Oracle Java SE の Oracle Java SE、Oracle GraalVM Enterprise Edition 製品の脆弱性 (コンポーネント:
 JavaFX (WebKitGTK))。影響を受けるサポートされたバージョンは、Java SE: 8u421、Oracle GraalVM Enterprise Edition: 20.3.15、21.3.11 です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、Oracle Java SE、Oracle GraalVM Enterprise Edition を侵害する可能性があります。この攻撃が成功するには、攻撃者以外の人物の関与が必要です。この脆弱性に対する攻撃が成功すると、Oracle Java SE、Oracle GraalVM Enterprise Edition の乗っ取りが発生する可能性があります。(CVE-2023-42950)

 - Oracle Java SE の Oracle Java SE、Oracle GraalVM Enterprise Edition 製品の脆弱性 (コンポーネント:
 JavaFX (libxml2))。影響を受けるサポートされたバージョンは、Java SE: 8u421、Oracle GraalVM Enterprise Edition: 20.3.15、21.3.11 です。容易に悪用できる脆弱性により、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、Oracle Java SE、Oracle GraalVM Enterprise Edition を侵害する可能性があります。この脆弱性を利用した攻撃に成功すると、権限がなくても、Oracle Java SE、Oracle GraalVM Enterprise Edition をハングさせたり、頻繁に繰り返しクラッシュ (完全な DOS) させたりする可能性があります。(CVE-2024-25062)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

2024 年 10 月の Oracle Critical Patch Update アドバイザリに従い、適切なパッチを適用してください。

参考資料

https://www.oracle.com/docs/tech/security-alerts/cpuoct2024csaf.json

https://www.oracle.com/security-alerts/cpuoct2024.html

プラグインの詳細

深刻度: Medium

ID: 209282

ファイル名: oracle_java_cpu_oct_2024.nasl

バージョン: 1.3

タイプ: local

エージェント: windows, macosx, unix

ファミリー: Misc.

公開日: 2024/10/18

更新日: 2025/1/24

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

基本値: 7.6

現状値: 6

ベクトル: CVSS2#AV:N/AC:H/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2024-36138

CVSS v3

リスクファクター: Medium

基本値: 4.8

現状値: 4.3

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

CVSS スコアのソース: CVE-2024-21235

脆弱性情報

CPE: cpe:/a:oracle:jre, cpe:/a:oracle:jdk

必要な KB アイテム: installed_sw/Java

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2024/10/15

脆弱性公開日: 2024/10/15

参照情報

CVE: CVE-2024-21208, CVE-2024-21210, CVE-2024-21211, CVE-2024-21217, CVE-2024-21235, CVE-2024-22020, CVE-2024-25062, CVE-2024-36138

IAVA: 2024-A-0657-S