検出

MiracleLinux 4 java-1.6.0-openjdk-1.6.0.0-1.42.1.10.4.AXS4 AXSA:2012-13:01

critical Nessus プラグイン ID 284034

Language:

概要

リモートのMiracleLinuxホストに1つ以上のセキュリティ更新プログラムがありません。

説明

リモートの MiracleLinux 4 ホストには、AXSA:2012-13:01 アドバイザリで言及されているように、複数の脆弱性の影響を受けるパッケージがインストールされています。

 OpenJDK ランタイム環境
 このリリースで修正されたセキュリティ問題
 CVE-2011-3389 Microsoft Windows および Microsoft Internet Explorer、Mozilla Firefox、Google Chrome、Opera およびその他の製品の特定の構成で使用される SSL プロトコルは、連鎖初期化ベクトルを持つ CBC モードを使用することでデータを暗号化します。これにより、中間者攻撃者が平文 HTTP ヘッダーが、(1) HTML5 WebSocket API、(2) Java URLConnection API、または (3) Silverlight WebClient API を使用する JavaScript コードと組み合わせて、HTTPS セッションへのブロック型選択境界攻撃BCBAを介して平文 HTTP ヘッダーが取得される可能性があります。 、別名BEAST 攻撃。
 CVE-2011-3521 Oracle Java SE JDK および JRE、7、6 Update 27 および以前、および 5.0 Update 31 以前の Java Runtime Environment コンポーネントでの詳細不明な脆弱性により、リモートの信頼されない Java Web Start アプリケーションおよび信頼されない Java アプレットが、機密性、整合性、および に影響を与えることができます。逆シリアル化に関連する未知のベクトルを介した利用可能性。
 CVE-2011-3544 Oracle Java SE JDK および JRE 7 および 6 Update 27 および以前の Java Runtime Environment コンポーネントでの特定されていない脆弱性により、リモートの信頼されない Java Web Start アプリケーションおよび信頼されない Java アプレットが、Scripting に関連する不明なベクトルを介して機密性、整合性、可用性に影響を与えることができます。
 CVE-2011-3547 Oracle Java SE JDK および JRE 7, 6 Update 27 および以前、 5.0 Update 31 および以前、 1.4.2_33 および以前の Java Runtime Environment コンポーネントでの詳細不明な脆弱性により、リモートの信頼されない Java Web Start アプリケーションおよび信頼されない Java アプレットが非表示にすることができます。ネットワークに関連する未知のベクトルを通じて機密性に影響を与える可能性があります。
 CVE-2011-3548 Oracle Java SE JDK および JRE 7, 6 Update 27 および以前、 5.0 Update 31 および以前、 1.4.2_33 および以前の Java Runtime Environment コンポーネントでの詳細不明な脆弱性により、リモートの信頼されない Java Web Start アプリケーションおよび信頼されない Java アプレットが非表示にすることができます。は、AWT に関連する機密性、整合性、可用性に影響を与えます。
 CVE-2011-3551 Oracle Java SE JDK および JRE 7、6 Update 27 および以前、および JRockit の Java Runtime Environment コンポーネントでの特定されていない脆弱性 R28.1.4 および以前により、リモートの攻撃者が、2D に関連する不明なベクトルを介して機密性、整合性、可用性に影響を与えることができます。
 CVE-2011-3552 Oracle Java SE JDK および JRE 7、6 Update 27 および以前、 5.0 Update 31 および以前、 1.4.2_33 および以前の Java Runtime Environment コンポーネントでの詳細不明な脆弱性により、リモートの攻撃者は、ネットワークに関連する不明なベクトルを介して整合性に影響を与えることができます。
 CVE-2011-3553 Oracle Java SE JDK および JRE 7、6 Update 27 および以前、および JRockit R28.1.4および以前の Java Runtime Environment コンポーネントでの特定されていない脆弱性により、認証されたリモートユーザーは、JAXWS に関連する機密性に影響を与えることができます。
 CVE-2011-3554 Oracle Java SE JDK および JRE 7、6 Update 27 および以前、 5.0 Update 31 および以前の Java Runtime Environment コンポーネントでの詳細不明な脆弱性により、信頼できないリモートの Java Web Start アプリケーションおよび信頼できない Java アプレットは、機密性、整合性、および可用性に影響を与えることができます。未知のベクトルを介して引き起こされる可能性があります。
 CVE-2011-3556 Oracle Java SE JDK および JRE 7, 6 Update 27 および以前、 5.0 Update 31 以前、 1.4.2_33 以前、および JRockit R28.1.4 および以前の Java Runtime Environment コンポーネントでの詳細不明な脆弱性により、リモートの攻撃者がRMI に関連する機密性、整合性、可用性に影響を与えます。
 CVE-2011-3557 Oracle Java SE JDK および JRE 7, 6 Update 27 および以前、 5.0 Update 31 以前、 1.4.2_33 以前、および JRockit R28.1.4 および以前の Java Runtime Environment コンポーネントでの詳細不明な脆弱性により、リモートの攻撃者がRMI に関連する機密性、整合性、可用性に影響を与えます。
 CVE-2011-3558 Oracle Java SE JDK および JRE 7、6 Update 27 および以前の Java Runtime Environment コンポーネントでの特定されていない脆弱性により、リモートの信頼されない Java Web Start アプリケーションおよび信頼されない Java アプレットが、HotSpot に関連する不明なベクトルを介して機密性に影響を与えることができます。
 CVE-2011-3560 Oracle Java SE JDK および JRE 7, 6 Update 27 および以前、 5.0 Update 31 および以前、 1.4.2_33 および以前の Java Runtime Environment コンポーネントでの詳細不明な脆弱性により、リモートの信頼されない Java Web Start アプリケーションおよび信頼されない Java アプレットが非表示にすることができます。 JSSE に関連する、機密性および整合性に影響を与えます。
 修正されたバグ:
 - aboce CVE を修正するパッチによって RMI レジストリに導入された一部のセキュリティ制限を緩和しました。

Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける java-1.6.0-openjdk, java-1.6.0-openjdk-devel および/または java-1.6.0-openjdk-javadoc パッケージを更新してください。

参考資料

https://tsn.miraclelinux.com/en/node/2502

プラグインの詳細

深刻度: Critical

ID: 284034

ファイル名: miracle_linux_AXSA-2012-13.nasl

バージョン: 1.3

タイプ: local

公開日: 2026/1/14

更新日: 2026/1/16

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Critical

スコア: 9.8

Vendor

Vendor Severity: High

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 8.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2011-3554

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 9.4

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:H/RL:O/RC:C

CVSS スコアのソース: CVE-2011-3544

脆弱性情報

CPE: p-cpe:/a:miracle:linux:java-1.6.0-openjdk-javadoc, p-cpe:/a:miracle:linux:java-1.6.0-openjdk-devel, cpe:/o:miracle:linux:4, p-cpe:/a:miracle:linux:java-1.6.0-openjdk

必要な KB アイテム: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2012/1/18

脆弱性公開日: 2011/9/6

CISA の既知の悪用された脆弱性の期限日: 2022/3/24

エクスプロイト可能

CANVAS (CANVAS)

Core Impact

Metasploit (Java RMI Server Insecure Default Configuration Java Code Execution)

参照情報

CVE: CVE-2011-3389, CVE-2011-3521, CVE-2011-3544, CVE-2011-3547, CVE-2011-3548, CVE-2011-3551, CVE-2011-3552, CVE-2011-3553, CVE-2011-3554, CVE-2011-3556, CVE-2011-3557, CVE-2011-3558, CVE-2011-3560

IAVB: 2013-B-0075-S