MiracleLinux 7 java-1.8.0-openjdk-1.8.0.161-0.b14.el7 AXSA:2018-2516:01
high Nessus プラグイン ID 289510
Language:
概要
リモートのMiracleLinuxホストに1つ以上のセキュリティ更新プログラムがありません。説明
リモートのMiracleLinux 7ホストには、AXSA:2018-2516:01アドバイザリに記載されているように、複数の脆弱性の影響を受けるパッケージがインストールされています。* OpenJDKのHotspotコンポーネントおよびAWTコンポーネントに複数の欠陥が見つかりました。信頼できないJavaアプリケーションまたはアプレットがこれらの欠陥を利用して、特定のJavaサンドボックスの制限をバイパスする可能性があります。(CVE-2018-2582、CVE-2018-2641)
* OpenJDKのJNDIコンポーネントにあるLDAPCertStoreクラスがLDAPリフェラルを安全に処理できませんでした。攻撃者がこの欠陥を使用して、攻撃者が制御する証明書データを取得する可能性があります。(CVE-2018-2633)
* OpenJDKのJGSSコンポーネントは、HTTP/SPNEGO認証を使用する場合はjavax.security.auth.useSubjectCredsOnlyプロパティの値を無視し、常にグローバル認証情報を使用します。これにより、信頼できないJavaアプリケーションがグローバルな資格情報を予期せず使用する可能性があることが発見されました。
(CVE-2018-2634)
* OpenJDKのJMXコンポーネントが、特定の場合にSingleEntryRegistryの逆シリアル化フィルターを正しく設定できないことがわかりました。リモートの攻撃者がこの欠陥を使用して、目的の逆シリアル化制限をバイパスする可能性があります。(CVE-2018-2637)
* OpenJDK の LDAP コンポーネントが、LDAP 検索クエリに特殊文字を追加するときに、ユーザー名に特殊文字を正しくコード化できないことがわかりました。リモートの攻撃者がこの欠陥を使用して、LdapLoginModule クラスが実行する LDAP クエリを操作する可能性があります。(CVE-2018-2588)
* OpenJDK の JNDI コンポーネントで DNS クライアントを実装しても、DNS クエリを送信するときにランダムな送信元ポートが使用されないことがわかりました。これにより、リモートの攻撃者がクエリへの応答を偽装することが容易になる可能性があります。(CVE-2018-2599)
* OpenJDK の I18n コンポーネントが、リソースバンドルクラスを読み込むときに、信頼できない検索パスを使用する可能性があることがわかりました。ローカルの攻撃者がこの欠陥を使用して、Java アプリケーションに攻撃者が制御するクラスファイルを読み込ませることで別のローカルユーザーとして任意のコードを実行する可能性があります。
(CVE-2018-2602)
* OpenJDK のライブラリコンポーネントが、DER でコード化された入力を読み取るときに、割り当てられるメモリの量を十分に制限できないことがわかりました。DER でコード化された攻撃者による入力を解析した場合、リモートの攻撃者がこの欠陥を使用して、Java アプリケーションに過度のメモリを使用させる可能性があります。
(CVE-2018-2603)
* OpenJDK の JCE コンポーネントにおけるキーの合意を実装しても、生成された共有秘密を適切に保護するために使用されるキーの強度が十分であることを保証できないことがわかりました。これにより、ネゴシエート済みの秘密を使用し暗号化ではなく、鍵合意を攻撃することで暗号化されたデータがさらに簡単に解読される可能性があります。(CVE-2018-2618)
* OpenJDK の JGSS コンポーネントが、特定の場合にネイティブ GSS ライブラリラッパーの GSS コンテキストを適切に処理しないことがわかりました。リモートの攻撃者が JGSS を使用して Java アプリケーションを作成し、以前に解放されたコンテキストを使用する可能性があります。(CVE-2018-2629)
* OpenJDK のライブラリ、AWT、および JNDI コンポーネントの複数のクラスが、シリアル化されたフォームからオブジェクトインスタンスを作成するときに、入力を十分に検証しないことがわかりました。特別に細工された入力があると、Java アプリケーションで状態が矛盾したオブジェクトを作成したり、逆シリアル化されたとき過剰な量のメモリを使用する可能性があります。(CVE-2018-2663、CVE-2018-2677、CVE-2018-2678)
* OpenJDK のライブラリコンポーネントの複数の暗号化キークラスが、内部データへのアクセスを適切に同期していないことがわかりました。これにより、ゼロアウトされたキーを使用するため、マルチスレッドの Java アプリケーションが弱い暗号化をデータに適用する可能性があります。
(CVE-2018-2579)注意:icedtea-webパッケージで提供されるWebブラウザープラグインがインストールされている場合、ユーザーが悪意のあるWebサイトにアクセスすると、Javaアプレットにより引き起こされる問題が、ユーザーとのやり取りなしに悪用される可能性があります。
CVE-2018-2579
**予約**この候補は、新しいセキュリティの問題を発表するときに、それを使う組織または個人によって予約されています。候補が公表されるときに、この候補の詳細が提供されます。
CVE-2018-2582
**予約**この候補は、新しいセキュリティの問題を発表するときに、それを使う組織または個人によって予約されています。候補が公表されるときに、この候補の詳細が提供されます。
CVE-2018-2588
**予約**この候補は、新しいセキュリティの問題を発表するときに、それを使う組織または個人によって予約されています。候補が公表されるときに、この候補の詳細が提供されます。
CVE-2018-2599
**予約**この候補は、新しいセキュリティの問題を発表するときに、それを使う組織または個人によって予約されています。候補が公表されるときに、この候補の詳細が提供されます。
CVE-2018-2602
**予約**この候補は、新しいセキュリティの問題を発表するときに、それを使う組織または個人によって予約されています。候補が公表されるときに、この候補の詳細が提供されます。
CVE-2018-2603
**予約**この候補は、新しいセキュリティの問題を発表するときに、それを使う組織または個人によって予約されています。候補が公表されるときに、この候補の詳細が提供されます。
CVE-2018-2618
**予約**この候補は、新しいセキュリティの問題を発表するときに、それを使う組織または個人によって予約されています。候補が公表されるときに、この候補の詳細が提供されます。
CVE-2018-2629
**予約**この候補は、新しいセキュリティの問題を発表するときに、それを使う組織または個人によって予約されています。候補が公表されるときに、この候補の詳細が提供されます。
CVE-2018-2633
**予約**この候補は、新しいセキュリティの問題を発表するときに、それを使う組織または個人によって予約されています。候補が公表されるときに、この候補の詳細が提供されます。
CVE-2018-2634
**予約**この候補は、新しいセキュリティの問題を発表するときに、それを使う組織または個人によって予約されています。候補が公表されるときに、この候補の詳細が提供されます。
CVE-2018-2637
**予約**この候補は、新しいセキュリティの問題を発表するときに、それを使う組織または個人によって予約されています。候補が公表されるときに、この候補の詳細が提供されます。
CVE-2018-2641
**予約**この候補は、新しいセキュリティの問題を発表するときに、それを使う組織または個人によって予約されています。候補が公表されるときに、この候補の詳細が提供されます。
CVE-2018-2663
**予約**この候補は、新しいセキュリティの問題を発表するときに、それを使う組織または個人によって予約されています。候補が公表されるときに、この候補の詳細が提供されます。
CVE-2018-2677
**予約**この候補は、新しいセキュリティの問題を発表するときに、それを使う組織または個人によって予約されています。候補が公表されるときに、この候補の詳細が提供されます。
CVE-2018-2678
**予約**この候補は、新しいセキュリティの問題を発表するときに、それを使う組織または個人によって予約されています。候補が公表されるときに、この候補の詳細が提供されます。
Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受ける java-1.8.0-openjdk, java-1.8.0-openjdk-devel および/または java-1.8.0-openjdk-headless パッケージを更新してください。参考資料
プラグインの詳細
深刻度: High
ID: 289510
ファイル名: miracle_linux_AXSA-2018-2516.nasl
バージョン: 1.1
タイプ: local
公開日: 2026/1/16
更新日: 2026/1/16
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: High
スコア: 7.3
Vendor
Vendor Severity: High
CVSS v2
リスクファクター: Medium
基本値: 5.8
現状値: 4.3
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N
CVSS スコアのソース: CVE-2018-2637
CVSS v3
リスクファクター: High
基本値: 8.3
現状値: 7.2
ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
CVSS スコアのソース: CVE-2018-2633
脆弱性情報
CPE: cpe:/o:miracle:linux:7, p-cpe:/a:miracle:linux:java-1.8.0-openjdk, p-cpe:/a:miracle:linux:java-1.8.0-openjdk-headless, p-cpe:/a:miracle:linux:java-1.8.0-openjdk-devel
必要な KB アイテム: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2018/1/18
脆弱性公開日: 2018/1/16
参照情報
CVE: CVE-2018-2579, CVE-2018-2582, CVE-2018-2588, CVE-2018-2599, CVE-2018-2602, CVE-2018-2603, CVE-2018-2618, CVE-2018-2629, CVE-2018-2633, CVE-2018-2634, CVE-2018-2637, CVE-2018-2641, CVE-2018-2663, CVE-2018-2677, CVE-2018-2678