MiracleLinux 7 java-1.8.0-openjdk-1.8.0.452.b09-1.0.1.el7.AXS7 AXSA:2025-10192:09
high Nessus プラグイン ID 283107
Language:
概要
リモート MiracleLinux ホストに 1 つ以上のセキュリティ更新がありません。説明
リモートのMiracleLinux 7ホストには、AXSA:2025-10192:09アドバイザリに記載されているとおり、複数の脆弱性の影響を受けるパッケージがインストールされています。* openjdk-shenandoah-jdk8u-shenandoah-jdk8u452-b09 をアップグレードしてください。これは次の CVE を修正します CVE-2025-21587、 CVE-2025-30691 、 CVE-2025-30698 CVE
CVE-2025-30691 Oracle Java SEの脆弱性コンポーネントコンパイラ。影響を受けるサポートされたバージョンは Oracle Java SE: 21.0.6、24、Oracle GraalVM for JDK: 21.0.6 および 24 です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Oracle Java SE を侵害する可能性があります。
この脆弱性に対する攻撃が成功すると、権限なしで Oracle Java SE がアクセスできる一部のデータにアクセスして更新、挿入、削除されたり、さらに Oracle Java SE がアクセスできるデータのサブセットに権限なしでアクセスされ読み取られたりする可能性があります。注意: この脆弱性は、指定されたコンポーネントで API を使用することによって (たとえば API にデータを提供する Web サービスを通して) 悪用される可能性があります。この脆弱性は、通常、サンドボックス化された Java Web Start アプリケーションまたはサンドボックス化された Java アプレットを実行しているクライアントで信頼できないコード (インターネットからのコードなど) を読み込んで実行し、セキュリティを Java サンドボックスに依存する Java デプロイメントも対象です。CVSS 3.1ベーススコア4.8 (機密性と整合性への影響) CVSS Vector:
(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N)。
CVE-2025-30698 Oracle Java SE、Oracle GraalVM for JDK、Oracle Java SEのOracle GraalVM Enterprise Edition製品の脆弱性コンポーネント2D。影響を受けるサポートされたバージョンは、Oracle Java SE: 8u441、8u441-perf、11.0.26、17.0.14、21.0.6、24、Oracle GraalVM for JDK: 17.0.14、21.0.6、24、Oracle GraalVM Enterprise Edition: 20.3.17 および 21.3.13 です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition がアクセスできるデータの一部に権限なしで更新アクセス、挿入アクセス、削除アクセス、また、Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition のアクセス可能なデータのサブセットへの不正な読み取りアクセスが行われたり、認証されていない権限により Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition の部分的なサービス拒否 (部分的 DOS) を引き起こす可能性があります。注意: この脆弱性は、通常、サンドボックス化された Java Web Start アプリケーションまたはサンドボックス化された Java アプレットを実行しているクライアントで信頼できないコード (インターネットからのコードなど) を読み込んで実行し、セキュリティを Java サンドボックスに依存する Java デプロイメントが対象です。この脆弱性は、通常サーバーで信頼できるコード (管理者がインストールしたコードなど) のみを読み込んで実行する Java デプロイメントを対象としていません。CVSS 3.1 ベーススコア 5.6 (機密性、整合性、可用性の影響) CVSS ベクトル: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L)。
CVE-2025-21587 Oracle Java SE、Oracle GraalVM for JDK、Oracle Java SEのOracle GraalVM Enterprise Edition製品の脆弱性コンポーネントJSSE。影響を受けるサポートされたバージョンは、Oracle Java SE: 8u441、8u441-perf、11.0.26、17.0.14、21.0.6、24、Oracle GraalVM for JDK:17.0.14、21.0.6、24、Oracle GraalVM Enterprise Edition:20.3.17 および 21.3.13 です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、重要なデータや Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition がアクセスできるすべてのデータが権限なしで作成、削除、変更される可能性があるとともに、権限なしで重要なデータにアクセスできるようになったり、Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition がアクセスできるすべてのデータに完全にアクセスできるようになったりする可能性があります。
注意: この脆弱性は、指定されたコンポーネントで API を使用することによって (たとえば API にデータを提供する Web サービスを通して) 悪用される可能性があります。この脆弱性は、通常、サンドボックス化された Java Web Start アプリケーションまたはサンドボックス化された Java アプレットを実行しているクライアントで信頼できないコード (インターネットからのコードなど) を読み込んで実行し、セキュリティを Java サンドボックスに依存する Java デプロイメントも対象です。CVSS 3.1ベーススコア7.4 (機密性と整合性への影響) CVSS Vector:
(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N)。
Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受ける java-1.8.0-openjdk, java-1.8.0-openjdk-devel および/または java-1.8.0-openjdk-headless パッケージを更新してください。参考資料
プラグインの詳細
深刻度: High
ID: 283107
ファイル名: miracle_linux_AXSA-2025-10192.nasl
バージョン: 1.1
タイプ: local
公開日: 2026/1/13
更新日: 2026/1/13
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.2
Vendor
Vendor Severity: High
CVSS v2
リスクファクター: High
基本値: 7.1
現状値: 5.3
ベクトル: CVSS2#AV:N/AC:H/Au:N/C:C/I:C/A:N
CVSS スコアのソース: CVE-2025-21587
CVSS v3
リスクファクター: High
基本値: 7.4
現状値: 6.4
ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:miracle:linux:java-1.8.0-openjdk-devel, p-cpe:/a:miracle:linux:java-1.8.0-openjdk-headless, p-cpe:/a:miracle:linux:java-1.8.0-openjdk, cpe:/o:miracle:linux:7
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2025/6/30
脆弱性公開日: 2025/4/15