MiracleLinux 3 : java-1.6.0-openjdk-1.6.0.0-1.41.1.11.11.90.0.1.AXS3 (AXSA:2013-553:03)
critical Nessus プラグイン ID 291498
Language:
概要
リモート MiracleLinux ホストに 1 つ以上のセキュリティ更新がありません。説明
リモート MiracleLinux 3 ホストに、AXSA:2013-553:03 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。OpenJDK ランタイム環境。
このリリースで修正されたセキュリティの問題:
CVE-2013-1500 Oracle Java SE 7 Update 21 以前、6 Update 45 以前、5.0 Update 45 以前、および OpenJDK 7 の Java Runtime Environment (JRE) コンポーネントでの特定されていない脆弱性により、ローカルユーザーが 2D に関連する未知のベクトルを介して機密性および整合性に影響を与える可能性があります。注:前述の情報は、2013 年 6 月の CPU から得たものです。この問題が共有メモリの弱いアクセス許可に関連するという、他のベンダーからの主張について、Oracle はコメントを出していません。
CVE-2013-1571 Oracle Java SE 7 Update 21 以前、6 Update 45 以前、5.0 Update 45 以前、JavaFX 2.2.21 以前、および OpenJDK 7 の Javadoc コンポーネントでの詳細不明な脆弱性により、リモートの攻撃者が Javadoc に関係する不明なベクトルを介して整合性に影響を与える可能性があります。注:前述の情報は、2013 年 6 月の CPU から得たものです。Oracle は、この問題が Javadoc によって生成される HTML のフレームインジェクションに関係するという、他のベンダーからの主張にコメントしていません。
CVE-2013-2407 Oracle Java SE 7 Update 21 以前および 6 Update 45 以前の Java Runtime Environment (JRE) コンポーネントでの特定されていない脆弱性により、リモートの攻撃者がライブラリに関連する未知のベクトルを介して機密性および可用性に影響を与える可能性があります。注:前述の情報は、2013 年 6 月の CPU から得たものです。この問題が XML のセキュリティおよびクラスローダーに関連するという、他のベンダーからの主張について、Oracle はコメントを出していません。
CVE-2013-2412 Oracle Java SE 7 Update 21 以前および 6 Update 45 以前の Java Runtime Environment (JRE) コンポーネントでの特定されていない脆弱性により、リモートの攻撃者が保守性に関連する未知のベクトルを介して機密性に影響を与える可能性があります。注:前述の情報は、2013 年 6 月の CPU から得たものです。
この問題が、RMI 接続ダイアログボックスに関連する、JConsole による SSL 接続障害の表示が不十分であることに関連するという、他のベンダーからの主張について、Oracle はコメントしていません。
CVE-2013-2443 Oracle Java SE 7 Update 21 以前、6 Update 45 以前、5.0 Update 45 以前、および OpenJDK 7 の Java Runtime Environment (JRE) コンポーネントでの特定されていない脆弱性により、リモートの攻撃者がライブラリに関連する未知のベクトルを介して機密性に影響を与える可能性があります。これは、CVE-2013-2452 や CVE-2013-2455 とは異なる脆弱性です。注:前述の情報は、2013 年 6 月の CPU から得たものです。この問題が AccessControlContext クラス内でのチェック順序の誤りが原因であるという、他のベンダーからの主張について、Oracle はコメントしていません。
CVE-2013-2444 Oracle Java SE 7 Update 21 以前、6 Update 45 以前、5.0 Update 45 以前、JavaFX 2.2.21 以前、および OpenJDK 7 の Java Runtime Environment (JRE) コンポーネントでの詳細不明な脆弱性により、リモートの攻撃者が AWT に関連するベクトルを介して可用性に影響を与える可能性があります。注:前述の情報は、2013 年 6 月の CPU から得たものです。この問題が、フォントの処理に関連する特定のリソースを適切に管理および制限しないという、他のベンダーからの主張について、Oracle はコメントを出していません。これは、一時ファイルに関連する可能性があります。
CVE-2013-2445 Oracle Java SE 7 Update 21 以前、6 Update 45 以前、5.0 Update 45 以前、および OpenJDK 7 の Java Runtime Environment (JRE) コンポーネントでの詳細不明な脆弱性により、リモートの攻撃者が Hotspot に関連する未知のベクトルを介して可用性に影響を与える可能性があります。注:前述の情報は、2013 年 6 月の CPU から得たものです。この問題により、リモートの攻撃者が、メモリ割り当てエラーの処理に関連するベクトルを通じて、Java サンドボックスをバイパスする可能性があるという、他のベンダーからの主張について、Oracle はコメントしていません。
CVE-2013-2446 Oracle Java SE 7 Update 21 以前、6 Update 45 以前、5.0 Update 45 以前、および OpenJDK 7 の Java Runtime Environment (JRE) コンポーネントでの詳細不明な脆弱性により、リモートの攻撃者が CORBA に関連するベクトルを介して機密性に影響を与える可能性があります。注:前述の情報は、2013 年 6 月の CPU から得たものです。この問題が CORBA 出力ストリームのアクセス制限を適切に実行しないという、他のベンダーからの主張について、Oracle はコメントを出していません。
CVE-2013-2447 Oracle Java SE 7 Update 21 以前、6 Update 45 以前、5.0 Update 45 以前、および OpenJDK 7 の Java Runtime Environment (JRE) コンポーネントでの詳細不明な脆弱性により、リモートの攻撃者がネットワーキングに関連するベクトルを介して機密性に影響を与える可能性があります。注:前述の情報は、2013 年 6 月の CPU から得たものです。この問題により、リモートの攻撃者が、Socket.getLocalAddress と InetAddress.getLocalHost の間の矛盾に関連するベクトルで、ソケットのローカルアドレスを取得できるという、他のベンダーからの主張については、Oracle はコメントしていません。
CVE-2013-2448 Oracle Java SE 7 Update 21 以前、6 Update 45 以前、5.0 Update 45 以前、および OpenJDK 7 の Java Runtime Environment (JRE) コンポーネントでの詳細不明な脆弱性により、リモートの攻撃者が Sound に関連する未知のベクトルを介して機密性、整合性、および可用性に影響を与える可能性があります。
注:前述の情報は、2013 年 6 月の CPU から得たものです。この問題により、リモートの攻撃者が、不十分なアクセス制限とサウンドクラスの堅牢性に関連するベクトルを通じて、Java サンドボックスをバイパスする可能性があるという、他のベンダーからの主張について、Oracle はコメントしていません。
CVE-2013-2450 Oracle Java SE 7 Update 21 以前、6 Update 45 以前、5.0 Update 45 以前、および OpenJDK 7 の Java Runtime Environment (JRE) コンポーネントでの詳細不明な脆弱性により、リモートの攻撃者がシリアル化に関連する未知のベクトルを介して可用性に影響を与える可能性があります。注:前述の情報は、2013 年 6 月の CPU から得たものです。この問題が ObjectStreamClass の循環参照の不適切な処理に関連するという、他のベンダーからの主張について、Oracle はコメントしていません。
CVE-2013-2452 Oracle Java SE 7 Update 21 以前、6 Update 45 以前、5.0 Update 45 以前、および OpenJDK 7 の Java Runtime Environment (JRE) コンポーネントでの特定されていない脆弱性により、リモートの攻撃者がライブラリに関連する未知のベクトルを介して機密性に影響を与える可能性があります。これは、CVE-2013-2443 や CVE-2013-2455 とは異なる脆弱性です。注:前述の情報は、2013 年 6 月の CPU から得たものです。この問題が仮想マシン識別子でのネットワークアドレス処理、および java.rmi.dgc.VMID クラスの一意の予測不能な ID の欠如に関連するという、他のベンダーからの主張について、Oracle はコメントしていません。
CVE-2013-2453 Oracle Java SE 7 Update 21 以前および 6 Update 45 以前の Java Runtime Environment (JRE) コンポーネントでの特定されていない脆弱性により、リモートの攻撃者が JMX に関連するベクトルを介して整合性に影響を与える可能性があります。注:前述の情報は、2013 年 6 月の CPU から得たものです。この問題が、MBeanServer Introspector によるパッケージアクセスのチェック欠落によるものであるという、他のベンダーからの主張について、Oracle はコメントしていません。
CVE-2013-2455 Oracle Java SE 7 Update 21 以前、6 Update 45 以前、5.0 Update 45 以前、および OpenJDK 7 の Java Runtime Environment (JRE) コンポーネントでの特定されていない脆弱性により、リモートの攻撃者がライブラリに関連する未知のベクトルを介して機密性に影響を与える可能性があります。これは、CVE-2013-2443 や CVE-2013-2452 とは異なる脆弱性です。注:前述の情報は、2013 年 6 月の CPU から得たものです。この問題が、(1) getEnclosingClass、(2) getEnclosingMethod、および (3) getEnclosingConstructor メソッドによる不適切なアクセスチェックに関連するという、他のベンダーからの主張について、Oracle はコメントしていません。
CVE-2013-2456 Oracle Java SE 7 Update 21 以前、6 Update 45 以前、5.0 Update 45 以前、および OpenJDK 7 の Java Runtime Environment (JRE) コンポーネントでの詳細不明な脆弱性により、リモートの攻撃者がシリアル化に関連する未知のベクトルを介して機密性に影響を与える可能性があります。注:前述の情報は、2013 年 6 月の CPU から得たものです。この問題が ObjectOutputStream のサブクラスの不適切なアクセスチェックに関連するという、他のベンダーからの主張について、Oracle はコメントしていません。
CVE-2013-2457 Oracle Java SE 7 Update 21 以前、6 Update 45 以前、5.0 Update 45 以前、および OpenJDK 7 の Java Runtime Environment (JRE) コンポーネントでの詳細不明な脆弱性により、リモートの攻撃者が JMX に関連するベクトルを介して整合性に影響を与える可能性があります。注:前述の情報は、2013 年 6 月の CPU から得たものです。この問題が特定のクラスチェックの不適切な実装によるものであるという、他のベンダーからの主張について Oracle はコメントを出していません。これにより、リモートの攻撃者が意図されたクラス制限をバイパスすることが可能です。
CVE-2013-2459 Oracle Java SE 7 Update 21 以前、6 Update 45 以前、5.0 Update 45 以前、および OpenJDK 7 の Java Runtime Environment (JRE) コンポーネントでの詳細不明な脆弱性により、リモートの攻撃者が AWT に関連するベクトルを介して機密性、整合性、および可用性に影響を与える可能性があります。注:前述の情報は、2013 年 6 月の CPU から得たものです。この問題により、リモートの攻撃者が、整数オーバーフローチェックに関連するベクトルを通じて、Java サンドボックスをバイパスする可能性があるという、他のベンダーからの主張について、Oracle はコメントしていません。
CVE-2013-2461 Oracle Java SE 7 Update 21 以前、6 Update 45 以前、および OpenJDK 7 の Java Runtime Environment (JRE) コンポーネントでの特定されていない脆弱性により、リモートの攻撃者がライブラリに関連する未知のベクトルを介して機密性、整合性、および可用性に影響を与える可能性があります。注:前述の情報は、2013 年 6 月の CPU から得たものです。この問題により、リモートの攻撃者が、[a] 有効な DOMCanonicalizationMethod 正規化アルゴリズムに対するチェックの欠如に関連するベクトルを通じて、XML 署名の検証をバイパスできるという、他のベンダーからの主張について、Oracle はコメントしていません。
CVE-2013-2463 Oracle Java SE 7 Update 21 以前、6 Update 45 以前、5.0 Update 45 以前、および OpenJDK 7 の Java Runtime Environment (JRE) コンポーネントでの詳細不明な脆弱性により、リモートの攻撃者が 2D に関連する未知のベクトルを介して機密性、整合性、および可用性に影響を与える可能性があります。注意:
前述の情報は、2013 年 6 月の CPU から得たものです。この問題により、リモートの攻撃者が、2D の不適切な画像属性の検証に関連するベクトルを通じて、Java サンドボックスをバイパスする可能性があるという、他のベンダーからの主張について、Oracle はコメントしていません。
CVE-2013-2465 Oracle Java SE 7 Update 21 以前、6 Update 45 以前、5.0 Update 45 以前、および OpenJDK 7 の Java Runtime Environment (JRE) コンポーネントでの詳細不明な脆弱性により、リモートの攻撃者が 2D に関連する未知のベクトルを介して機密性、整合性、および可用性に影響を与える可能性があります。注意:
前述の情報は、2013 年 6 月の CPU から得たものです。この問題により、リモートの攻撃者が、2D の不適切な画像チャネルの検証に関連するベクトルを通じて、Java サンドボックスをバイパスする可能性があるという、他のベンダーからの主張について、Oracle はコメントしていません。
CVE-2013-2469 Oracle Java SE 7 Update 21 以前、6 Update 45 以前、5.0 Update 45 以前、および OpenJDK 7 の Java Runtime Environment (JRE) コンポーネントでの詳細不明な脆弱性により、リモートの攻撃者が 2D に関連する未知のベクトルを介して機密性、整合性、および可用性に影響を与える可能性があります。注意:
前述の情報は、2013 年 6 月の CPU から得たものです。この問題により、リモートの攻撃者が、2D の不適切な画像レイアウトの検証に関連するベクトルを通じて、Java サンドボックスをバイパスする可能性があるという、他のベンダーからの主張について、Oracle はコメントしていません。
CVE-2013-2470 Oracle Java SE 7 Update 21 以前、6 Update 45 以前、5.0 Update 45 以前、および OpenJDK 7 の Java Runtime Environment (JRE) コンポーネントでの詳細不明な脆弱性により、リモートの攻撃者が 2D に関連する未知のベクトルを介して機密性、整合性、および可用性に影響を与える可能性があります。注意:
前述の情報は、2013 年 6 月の CPU から得たものです。この問題により、リモートの攻撃者が、ImagingLib バイト検索処理に関連するベクトルを通じて、Java サンドボックスをバイパスする可能性があるという、他のベンダーからの主張について、Oracle はコメントしていません。
CVE-2013-2471 Oracle Java SE 7 Update 21 以前、6 Update 45 以前、5.0 Update 45 以前、および OpenJDK 7 の Java Runtime Environment (JRE) コンポーネントでの詳細不明な脆弱性により、リモートの攻撃者が 2D に関連する未知のベクトルを介して機密性、整合性、および可用性に影響を与える可能性があります。注意:
前述の情報は、2013 年 6 月の CPU から得たものです。この問題により、リモートの攻撃者が、不適切な IntegerComponentRaster のサイズチェックに関連するベクトルを通じて、Java サンドボックスをバイパスする可能性があるという、他のベンダーからの主張について、Oracle はコメントしていません。
CVE-2013-2472 Oracle Java SE 7 Update 21 以前、6 Update 45 以前、5.0 Update 45 以前、および OpenJDK 7 の Java Runtime Environment (JRE) コンポーネントでの詳細不明な脆弱性により、リモートの攻撃者が 2D に関連する未知のベクトルを介して機密性、整合性、および可用性に影響を与える可能性があります。注意:
前述の情報は、2013 年 6 月の CPU から得たものです。この問題により、リモートの攻撃者が、2D の不適切な ShortBandedRaster のサイズチェックに関連するベクトルを通じて、Java サンドボックスをバイパスする可能性があるという、他のベンダーからの主張について、Oracle はコメントしていません。
CVE-2013-2473 Oracle Java SE 7 Update 21 以前、6 Update 45 以前、5.0 Update 45 以前、および OpenJDK 7 の Java Runtime Environment (JRE) コンポーネントでの詳細不明な脆弱性により、リモートの攻撃者が 2D に関連する未知のベクトルを介して機密性、整合性、および可用性に影響を与える可能性があります。注意:
前述の情報は、2013 年 6 月の CPU から得たものです。この問題により、リモートの攻撃者が、2D の不適切な ByteBandedRaster のサイズチェックに関連するベクトルを通じて、Java サンドボックスをバイパスする可能性があるという、他のベンダーからの主張について、Oracle はコメントしていません。
Tenable は、前述の記述ブロックを MiracleLinux セキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受ける java-1.6.0-openjdk および java-1.6.0-openjdk-devel の両方またはいずれかのパッケージを更新してください。参考資料
プラグインの詳細
深刻度: Critical
ID: 291498
ファイル名: miracle_linux_AXSA-2013-553.nasl
バージョン: 1.2
タイプ: local
公開日: 2026/1/19
更新日: 2026/2/5
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Critical
スコア: 9.7
Vendor
Vendor Severity: High
CVSS v2
リスクファクター: Critical
基本値: 10
現状値: 8.7
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2013-2465
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 9.4
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:H/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:miracle:linux:java-1.6.0-openjdk, p-cpe:/a:miracle:linux:java-1.6.0-openjdk-devel, cpe:/o:miracle:linux:3
必要な KB アイテム: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2013/7/18
脆弱性公開日: 2013/6/18
CISA の既知の悪用された脆弱性の期限日: 2022/4/18
エクスプロイト可能
Core Impact
Metasploit (Java storeImageArray() Invalid Array Indexing Vulnerability)
参照情報
CVE: CVE-2013-1500, CVE-2013-1571, CVE-2013-2407, CVE-2013-2412, CVE-2013-2443, CVE-2013-2444, CVE-2013-2445, CVE-2013-2446, CVE-2013-2447, CVE-2013-2448, CVE-2013-2450, CVE-2013-2452, CVE-2013-2453, CVE-2013-2455, CVE-2013-2456, CVE-2013-2457, CVE-2013-2459, CVE-2013-2461, CVE-2013-2463, CVE-2013-2465