MiracleLinux 3 java-1.6.0-openjdk-1.6.0.0-1.41.1.11.11.90.0.1.AXS3 AXSA:2013-553:03
critical Nessus プラグイン ID 291498
Language:
概要
リモート MiracleLinux ホストに 1 つ以上のセキュリティ更新がありません。説明
リモートの MiracleLinux 3 ホストには、AXSA:2013-553:03 アドバイザリで言及されているように、複数の脆弱性の影響を受けるパッケージがインストールされています。OpenJDK ランタイム環境
このリリースで修正されたセキュリティ問題
CVE-2013-1500 Oracle Java SE 7 Update 21 および以前、6 Update 45 および以前、 5.0 Update 45 および以前、および OpenJDK 7 の Java Runtime EnvironmentJREコンポーネントでの特定されていない脆弱性により、ローカルユーザーが機密性と整合性に影響を与えることができます。 2D に関連する未知のベクトルを介して、任意の Web スクリプトまたは HTML を注入できる可能性があります。注:前述の情報は、2013 年 6 月の CPU から得たものです。この問題が共有メモリの弱い権限に関連するという、他のベンダーからの主張について、Oracle はコメントを出していません。
CVE-2013-1571 Oracle Java SE 7 Update 21 以前、6 Update 45 以前、および 5.0 Update 45 以前の Javadoc コンポーネントでの詳細不明な脆弱性。 JavaFX 2.2.21 およびそれ以前。および OpenJDK 7 により、リモートの攻撃者が Javadoc に関係する未知のベクトルを通じて、整合性に影響を与えることができます。注:前述の情報は、2013 年 6 月の CPU から得たものです。Oracle は、この問題が Javadoc によって生成される HTML のフレームインジェクションに関係するという、他のベンダーからの主張にコメントしていません。
CVE-2013-2407 Oracle Java SE 7 Update 21 および以前、6 Update 45 および以前、および OpenJDK 7 の Java Runtime EnvironmentJREコンポーネントでの特定されていない脆弱性により、リモートの攻撃者が、ライブラリに関連する不明なベクトルを介して機密性と可用性に影響を与えることができます。注:前述の情報は、2013 年 6 月の CPU から得たものです。この問題が XML のセキュリティおよびクラスローダーに関連するという、他のベンダーからの主張について、Oracle はコメントを出していません。
CVE-2013-2412 Oracle Java SE 7 Update 21 および以前、6 Update 45 および以前、および OpenJDK 7 の Java Runtime EnvironmentJREコンポーネントでの特定されていない脆弱性により、リモートの攻撃者が、Serviceability に関連する不明なベクトルを介して機密性に影響を与えることができます。注:前述の情報は、2013 年 6 月の CPU から得たものです。
この問題が、RMI 接続ダイアログボックスに関連する JConsole による SSL 接続障害の表示が不十分であることに関連するという、他のベンダーからの主張について、Oracle はコメントしていません。
CVE-2013-2443 Oracle Java SE 7 Update 21 および以前、6 Update 45 および以前、 5.0 Update 45 および以前、および OpenJDK 7 の Java Runtime EnvironmentJREコンポーネントでの特定されていない脆弱性により、リモートの攻撃者が不明なベクトルで機密性に影響を与えることができます。ライブラリに関連。これは CVE-2013-2452 および CVE-2013-2455とは異なる脆弱性です。注:前述の情報は、2013 年 6 月の CPU から得たものです。この問題が AccessControlContext クラス内でのチェック順序の誤りが原因であるという、他のベンダーからの主張について、Oracle はコメントしていません。
CVE-2013-2444 Oracle Java SE 7 Update 21 および以前、6 Update 45 および以前、および 5.0 Update 45 および以前の Java Runtime EnvironmentJREコンポーネントでの特定されていない脆弱性。 JavaFX 2.2.21 およびそれ以前。および OpenJDK 7 により、リモートの攻撃者が AWT に関連するベクトルを通じて、可用性に影響を与えることができます。注:前述の情報は、2013 年 6 月の CPU から得たものです。この問題が、フォントの処理に関連する特定のリソースを適切に管理および制限しないという、他のベンダーからの主張について、Oracle はコメントを出していません。これは、一時ファイルに関連する可能性があります。
CVE-2013-2445 Oracle Java SE 7 Update 21 および以前、6 Update 45 および以前、 5.0 Update 45 および以前、および OpenJDK 7 の Java Runtime EnvironmentJREコンポーネントでの特定されていない脆弱性により、リモートの攻撃者が不明なベクトルで可用性に影響を与えることができます。ホットスポットに関連。注:前述の情報は、2013 年 6 月の CPU から得たものです。この問題により、リモートの攻撃者が、メモリ割り当てエラーの処理に関連するベクトルを通じて、Java サンドボックスをバイパスする可能性があるという、他のベンダーからの主張について、Oracle はコメントしていません。
CVE-2013-2446 Oracle Java SE 7 Update 21 および以前、6 Update 45 および以前、 5.0 Update 45 および以前、および OpenJDK 7 の Java Runtime EnvironmentJREコンポーネントでの特定されていない脆弱性により、リモートの攻撃者が関連するベクトルで機密性に影響を与えることができますCORBA に。注:前述の情報は、2013 年 6 月の CPU から得たものです。この問題が CORBA 出力ストリームのアクセス制限を適切に実行しないという、他のベンダーからの主張について、Oracle はコメントを出していません。
CVE-2013-2447 Oracle Java SE 7 Update 21 および以前、6 Update 45 および以前、 5.0 Update 45 および以前、および OpenJDK 7 の Java Runtime EnvironmentJREコンポーネントでの特定されていない脆弱性により、リモートの攻撃者が不明なベクトルで機密性に影響を与えることができます。ネットワークに関連するベクトルを通じて、可用性に影響を与えることが可能です。注:前述の情報は、2013 年 6 月の CPU から得たものです。この問題により、リモートの攻撃者が、Socket.getLocalAddress と InetAddress.getLocalHost の間の矛盾に関わるベクトルで、ソケットのローカルアドレスを取得できるという、他のベンダーからの主張については、Oracle はコメントしていません。
CVE-2013-2448 Oracle Java SE 7 Update 21 および以前、6 Update 45 および以前、 5.0 Update 45 および以前、および OpenJDK 7 の Java Runtime EnvironmentJREコンポーネントでの特定されていない脆弱性により、リモートの攻撃者が機密性、整合性、サウンドに関連する未知のベクトルを介した利用可能性。
注:前述の情報は、2013 年 6 月の CPU から得たものです。この問題により、リモートの攻撃者が、サウンドクラスの不十分なアクセス制限と堅牢性に関連するベクトルを通じて、Java サンドボックスをバイパスする可能性があるという、他のベンダーからの主張について、Oracle はコメントしていません。
CVE-2013-2450 Oracle Java SE 7 Update 21 および以前、6 Update 45 および以前、 5.0 Update 45 および以前、および OpenJDK 7 の Java Runtime EnvironmentJREコンポーネントでの特定されていない脆弱性により、リモートの攻撃者が不明なベクトルで可用性に影響を与えることができます。シリアル化に関連するベクトルを通じて、可用性に影響を与えることが可能です。注:前述の情報は、2013 年 6 月の CPU から得たものです。この問題が ObjectStreamClass の循環参照の不適切な処理に関連するという、他のベンダーからの主張について、Oracle はコメントしていません。
CVE-2013-2452 Oracle Java SE 7 Update 21 および以前、6 Update 45 および以前、 5.0 Update 45 および以前、および OpenJDK 7 の Java Runtime EnvironmentJREコンポーネントでの特定されていない脆弱性により、リモートの攻撃者が不明なベクトルで機密性に影響を与えることができます。ライブラリに関連。これは CVE-2013-2443 および CVE-2013-2455とは異なる脆弱性です。注:前述の情報は、2013 年 6 月の CPU から得たものです。この問題が仮想マシン識別子でのネットワークアドレス処理、および java.rmi.dgc.VMID クラスの一意の予測不能な ID の欠如に関連するという、他のベンダーからの主張について、Oracle はコメントしていません。
CVE-2013-2453 Oracle Java SE 7 Update 21 および以前、および 6 Update 45 および以前の Java Runtime EnvironmentJREコンポーネントでの特定されていない脆弱性により、リモートの攻撃者が、JMX に関連するベクトルを介して整合性に影響を与えることができます。注:前述の情報は、2013 年 6 月の CPU から得たものです。この問題が、 MBeanServer Introspector によるパッケージアクセスのチェック欠落によるものであるという、他のベンダーからの主張について、Oracle はコメントしていません。
CVE-2013-2455 Oracle Java SE 7 Update 21 および以前、6 Update 45 および以前、 5.0 Update 45 および以前、および OpenJDK 7 の Java Runtime EnvironmentJREコンポーネントでの特定されていない脆弱性により、リモートの攻撃者が不明なベクトルで機密性に影響を与えることができます。ライブラリに関連。これは CVE-2013-2443 および CVE-2013-2452とは異なる脆弱性です。注:前述の情報は、2013 年 6 月の CPU から得たものです。この問題が、(1) getEnclosingClass、(2) getEnclosingMethod、および (3) getEnclosingConstructor" メソッドによる不適切なアクセスチェックに関連するという、他のベンダーからの主張について、Oracle はコメントしていません。
CVE-2013-2456 Oracle Java SE 7 Update 21 および以前、6 Update 45 および以前、 5.0 Update 45 および以前、および OpenJDK 7 の Java Runtime EnvironmentJREコンポーネントでの特定されていない脆弱性により、リモートの攻撃者が不明なベクトルで機密性に影響を与えることができます。シリアル化に関連するベクトルを通じて、可用性に影響を与えることが可能です。注:前述の情報は、2013 年 6 月の CPU から得たものです。この問題が ObjectOutputStream クラスのサブクラスに対する不適切なアクセスチェックに関連するという、他のベンダーからの主張について、Oracle はコメントしていません。
CVE-2013-2457 Oracle Java SE 7 Update 21 および以前、6 Update 45 および以前、 5.0 Update 45 および以前、および OpenJDK 7 の Java Runtime EnvironmentJREコンポーネントでの特定されていない脆弱性により、リモートの攻撃者が関連するベクトルで整合性に影響を与えることができます。 JMX に関連するベクトルを通じて、可用性に影響を与えることが可能です。注:前述の情報は、2013 年 6 月の CPU から得たものです。この問題が特定のクラスチェックの不適切な実装によるものであるという、他のベンダーからの主張について Oracle はコメントを出していません。これにより、リモートの攻撃者が意図されたクラス制限をバイパスすることが可能です。
CVE-2013-2459 Oracle Java SE 7 Update 21 および以前、6 Update 45 および以前、 5.0 Update 45 および以前、および OpenJDK 7 の Java Runtime EnvironmentJREコンポーネントでの特定されていない脆弱性により、リモートの攻撃者が機密性、整合性、および AWT に関連するベクトルを介して可用性に影響を与える可能性があります。注:前述の情報は、2013 年 6 月の CPU から得たものです。この問題により、リモートの攻撃者が整数オーバーフローチェックに関連するベクトルを通じて、Javaサンドボックスをバイパスする可能性があるという、他のベンダーからの主張については、Oracleはコメントを出していません。
CVE-2013-2461 Oracle Java SE 7 Update 21 以前および 6 Update 45 以前、および OpenJDK 7 の Java Runtime EnvironmentJREコンポーネントでの特定されていない脆弱性により、リモートの攻撃者が、ライブラリに関連する不明なベクトルを介して機密性、整合性、可用性に影響を与えることができます。注:前述の情報は、2013 年 6 月の CPU から得たものです。この問題により、リモートの攻撃者が、[a] 有効な DOMCanonicalizationMethod 正規化アルゴリズムに対するチェックがありません。に関連するベクトルを通じて、XML 署名の検証をバイパスできるという、他のベンダーからの主張について、Oracle はコメントしていません。
CVE-2013-2463 Oracle Java SE 7 Update 21 および以前、6 Update 45 および以前、 5.0 Update 45 および以前、および OpenJDK 7 の Java Runtime EnvironmentJREコンポーネントでの特定されていない脆弱性により、リモートの攻撃者が機密性、整合性、および 2D に関連する未知のベクトルを介した可用性。注意:
前述の情報は、2013 年 6 月の CPU から得たものです。この問題により、リモートの攻撃者が 2D での不適切な画像属性検証に関連するベクトルを通じて、Java サンドボックスをバイパスする可能性があるという、他のベンダーからの主張について、Oracle はコメントを出していません。
CVE-2013-2465 Oracle Java SE 7 Update 21 および以前、6 Update 45 および以前、 5.0 Update 45 および以前、および OpenJDK 7 の Java Runtime EnvironmentJREコンポーネントでの特定されていない脆弱性により、リモートの攻撃者が機密性、整合性、および 2D に関連する未知のベクトルを介した可用性。注意:
前述の情報は、2013 年 6 月の CPU から得たものです。この問題により、リモートの攻撃者が 2D での不適切なイメージチャネル検証に関連するベクトルを通じて、Java サンドボックスをバイパスする可能性があるという、他のベンダーからの主張について、Oracle はコメントを出していません。
CVE-2013-2469 Oracle Java SE 7 Update 21 および以前、6 Update 45 および以前、 5.0 Update 45 および以前、および OpenJDK 7 の Java Runtime EnvironmentJREコンポーネントでの特定されていない脆弱性により、リモートの攻撃者が機密性、整合性、および 2D に関連する未知のベクトルを介した可用性。注意:
前述の情報は、2013 年 6 月の CPU から得たものです。この問題により、リモートの攻撃者が 2D での不適切な画像レイアウト検証に関連するベクトルを通じて、Java サンドボックスをバイパスする可能性があるという、他のベンダーからの主張について、Oracle はコメントを出していません。
CVE-2013-2470 Oracle Java SE 7 Update 21 および以前、6 Update 45 および以前、 5.0 Update 45 および以前、および OpenJDK 7 の Java Runtime EnvironmentJREコンポーネントでの特定されていない脆弱性により、リモートの攻撃者が機密性、整合性、および 2D に関連する未知のベクトルを介した可用性。注意:
前述の情報は、2013 年 6 月の CPU から得たものです。この問題により、リモートの攻撃者が ImagingLib バイト検索処理に関連するベクトルを通じて Java サンドボックスをバイパスできるという、他のベンダーからの主張について Oracle はコメントしていません。
CVE-2013-2471 Oracle Java SE 7 Update 21 および以前、6 Update 45 および以前、 5.0 Update 45 および以前、および OpenJDK 7 の Java Runtime EnvironmentJREコンポーネントでの特定されていない脆弱性により、リモートの攻撃者が機密性、整合性、および 2D に関連する未知のベクトルを介した可用性。注意:
前述の情報は、2013 年 6 月の CPU から得たものです。この問題により、リモートの攻撃者が Incorrect IntegerComponentRaster サイズチェックに関連するベクトルを通じて Java サンドボックスをバイパスする可能性があるという、他のベンダーからの主張について、Oracle はコメントしていません。
CVE-2013-2472 Oracle Java SE 7 Update 21 および以前、6 Update 45 および以前、 5.0 Update 45 および以前、および OpenJDK 7 の Java Runtime EnvironmentJREコンポーネントでの特定されていない脆弱性により、リモートの攻撃者が機密性、整合性、および 2D に関連する未知のベクトルを介した可用性。注意:
前述の情報は、2013 年 6 月の CPU から得たものです。この問題により、リモートの攻撃者が、2D の不適切なShortBandedRasterサイズチェックに関連するベクトルを介して、Javaサンドボックスをバイパスする可能性があるという、他のベンダーからの主張については、Oracleはコメントを出していません。
CVE-2013-2473 Oracle Java SE 7 Update 21 および以前、6 Update 45 および以前、 5.0 Update 45 および以前、および OpenJDK 7 の Java Runtime EnvironmentJREコンポーネントでの特定されていない脆弱性により、リモートの攻撃者が機密性、整合性、および 2D に関連する未知のベクトルを介した可用性。注意:
前述の情報は、2013 年 6 月の CPU から得たものです。この問題により、リモートの攻撃者が、2D の Incorrect ByteBandedRaster サイズチェックに関連するベクトルを通じて Java サンドボックスをバイパスできるという、他のベンダーからの主張について、Oracle はコメントを出していません。
Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受ける java-1.6.0-openjdk および java-1.6.0-openjdk-devel の両方またはいずれかのパッケージを更新してください。参考資料
プラグインの詳細
深刻度: Critical
ID: 291498
ファイル名: miracle_linux_AXSA-2013-553.nasl
バージョン: 1.1
タイプ: local
公開日: 2026/1/19
更新日: 2026/1/19
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Critical
スコア: 9.7
Vendor
Vendor Severity: High
CVSS v2
リスクファクター: Critical
基本値: 10
現状値: 8.7
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2013-2465
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 9.4
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:H/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:miracle:linux:java-1.6.0-openjdk-devel, p-cpe:/a:miracle:linux:java-1.6.0-openjdk, cpe:/o:miracle:linux:3
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2013/7/18
脆弱性公開日: 2013/6/18
CISA の既知の悪用された脆弱性の期限日: 2022/4/18
参照情報
CVE: CVE-2013-1500, CVE-2013-1571, CVE-2013-2407, CVE-2013-2412, CVE-2013-2443, CVE-2013-2444, CVE-2013-2445, CVE-2013-2446, CVE-2013-2447, CVE-2013-2448, CVE-2013-2450, CVE-2013-2452, CVE-2013-2453, CVE-2013-2455, CVE-2013-2456, CVE-2013-2457, CVE-2013-2459, CVE-2013-2461, CVE-2013-2463, CVE-2013-2465