検出

Azul Zulu Java の複数の脆弱性 (2026 年 1 月 20 日)

high Nessus プラグイン ID 294803

Language:

概要

Azul Zulu OpenJDK は複数の脆弱性の影響を受けます。

説明

リモートホストにインストールされている Azul Zulu のバージョンは、6 の 6.77.0.12 より前 / 7 の 7.83.0.12 より前 / 8 の 8.91.0.12 より前 / 11 の 11.85.12 より前 / 17 の 17.63.12 より前 / 21 の 21.47.14 より前 / 25 の 25.31.14 より前です。したがって、2026 年 1 月 20 日のアドバイザリに記載されている複数の脆弱性の影響を受けます。

 - 文字列にデータを追加するときに GLib の GString がメモリを管理する方法で、欠陥が見つかりました。文字列がすでに非常に大きい場合、さらなる入力と組み合わせるとサイズ計算に隠れたオーバーフローが発生する可能性があります。これにより、システムは実際のメモリが十分でない場合でも、メモリが十分あると考えます。その結果、割り当てられたメモリの末尾を超えてデータが書き込まれる可能性があり、クラッシュやメモリ破損が発生する可能性があります。(CVE-2025-6052)

 libxml2 の xmlBuildQName 関数で欠陥が見つかりました。バッファサイズ計算の整数オーバーフローにより、スタックベースのバッファオーバーフローが発生する可能性があります。この問題により、細工された入力を処理する際にメモリ破損やサービス拒否が発生する可能性があります。(CVE-2025-6021)

 - libxslt で欠陥が見つかりました。属性タイプ、atype、フラグが、内部メモリ管理を破損する方法で変更されています。key() プロセスなどの XSLT 関数によってツリーフラグメントが発生する場合、この破損によって ID 属性の適切なクリーンアップが妨げられます。結果として、システムは解放されたメモリにアクセスでき、クラッシュを引き起こしたり、攻撃者がヒープ破損を引き起こしたりする可能性があります。(CVE-2025-7425)

 - メモリ管理を改善することで、メモリ解放後使用 (Use After Free) の問題に対処しました。この問題は、Safari 26、iOS 26、iPadOS 26 で修正されています。悪意を持って細工されたウェブコンテンツを処理すると、予期しない Safari のクラッシュが発生する可能性があります。
 (CVE-2025-43368)

 - 1.26.1までの GStreamer で、isomp4 プラグインの qtdemux_parse_trak 関数が、MP4 ファイルの解析中にヒープバッファの末尾を超えて読み取る可能性があり、情報漏洩を引き起こす可能性があります。(CVE-2025-47219)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

2026 年 1 月の Azul Zulu OpenJDK Patch Update アドバイザリに従い、適切なパッチを適用してください。

参考資料

https://docs.azul.com/core/release/january-2026/release-notes

プラグインの詳細

深刻度: High

ID: 294803

ファイル名: azul_zulu_25_32_17.nasl

バージョン: 1.1

タイプ: local

エージェント: windows, macosx, unix

ファミリー: Misc.

公開日: 2026/1/21

更新日: 2026/1/21

設定: 徹底したチェックを有効にする (optional)

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.9

CVSS v2

リスクファクター: High

基本値: 7.8

現状値: 6.1

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C

CVSS スコアのソース: CVE-2025-6052

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 6.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:azul:zulu

必要な KB アイテム: installed_sw/Java

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2026/1/20

脆弱性公開日: 2025/6/10

参照情報

CVE: CVE-2025-43368, CVE-2025-47219, CVE-2025-6021, CVE-2025-6052, CVE-2025-7425, CVE-2026-21925, CVE-2026-21932, CVE-2026-21933, CVE-2026-21945, CVE-2026-21947