GLSA-201006-18:Oracle JRE/JDK:複数の脆弱性

critical Nessus プラグイン ID 46807

言語:

New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモートの Gentoo ホストでは、セキュリティに関連するパッチが少なくとも 1 つ不足しています。

説明

リモートホストは、GLSA-201006-18(Oracle JRE/JDK:複数の脆弱性)で説明されている脆弱性の影響を受けます

複数の脆弱性が Oracle Java の実装で報告されました。詳細については、以下で参照される CVE 識別子、および関連する Oracle Critical Patch Update アドバイザリを確認してください。
影響:

リモートの攻撃者はこれらの欠陥を悪用して、詳細不明な影響を及ぼすことがあります。なお、これには任意のコードの実行が含まれる可能性があります。
回避策:

現時点で、既知の回避策はありません。

ソリューション

Oracle JRE 1.6.x の全ユーザーは、最新バージョンへアップグレードする必要があります:
# emerge --sync # emerge --ask --oneshot --verbose '>=dev-java/sun-jre-bin-1.6.0.20'Oracle JDK 1.6.x の全ユーザーは、最新バージョンへアップグレードする必要があります:
# emerge --sync # emerge --ask --oneshot --verbose '>=dev-java/sun-jdk-1.6.0.20'事前コンパイル済み 32 ビット Oracle JRE 1.6.x の全ユーザーは、最新バージョンへアップグレードする必要があります:
# emerge --sync # emerge --ask --oneshot --verbose '>=app-emulation/emul-linux-x86-java-1.6.0.20'Oracle JRE 1.5.x、Oracle JDK 1.5.x、および事前コンパイル済み 32 ビット Oracle JRE 1.5.x の全ユーザーは、Java 1.5 をマージ解除することを強くお勧めします:
# emerge --unmerge =app-emulation/emul-linux-x86-java-1.5* # emerge --unmerge =dev-java/sun-jre-bin-1.5* # emerge --unmerge =dev-java/sun-jdk-1.5*Gentoo は、Upstream に従って Oracle Java Platform の 1.5 世代のサポートを終了しました。1.5 JRE の全バージョンはマスクされ、まもなく削除されます。1.5 JDK の全バージョンは「build-only」としてマークされ、まもなく削除用にマスクされます。ユーザーは、デフォルトユーザーおよびシステムの Java 実装を影響を受けていないバージョンに変更することをお勧めします。例:
# java-config --set-system-vm sun-jdk-1.6詳細については、Gentoo Linux Java のドキュメントを参照してください。

関連情報

https://wiki.gentoo.org/wiki/Java

http://www.nessus.org/u?6f46d569

https://security.gentoo.org/glsa/201006-18

プラグインの詳細

深刻度: Critical

ID: 46807

ファイル名: gentoo_GLSA-201006-18.nasl

バージョン: 1.26

タイプ: local

公開日: 2010/6/4

更新日: 2021/1/6

依存関係: ssh_get_info.nasl

リスク情報

VPR

リスクファクター: Critical

スコア: 9.8

CVSS v2

リスクファクター: Critical

Base Score: 10

Temporal Score: 8.7

ベクトル: AV:N/AC:L/Au:N/C:C/I:C/A:C

現状ベクトル: E:H/RL:OF/RC:C

脆弱性情報

CPE: p-cpe:/a:gentoo:linux:emul-linux-x86-java, p-cpe:/a:gentoo:linux:sun-jdk, p-cpe:/a:gentoo:linux:sun-jre-bin, cpe:/o:gentoo:linux

必要な KB アイテム: Host/local_checks_enabled, Host/Gentoo/release, Host/Gentoo/qpkg-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2010/6/4

エクスプロイト可能

CANVAS (CANVAS)

Core Impact

Metasploit (Sun Java Web Start Plugin Command Line Argument Injection)

参照情報

CVE: CVE-2009-3555, CVE-2010-0082, CVE-2010-0084, CVE-2010-0085, CVE-2010-0087, CVE-2010-0088, CVE-2010-0089, CVE-2010-0090, CVE-2010-0091, CVE-2010-0092, CVE-2010-0093, CVE-2010-0094, CVE-2010-0095, CVE-2010-0837, CVE-2010-0838, CVE-2010-0839, CVE-2010-0840, CVE-2010-0841, CVE-2010-0842, CVE-2010-0843, CVE-2010-0844, CVE-2010-0845, CVE-2010-0846, CVE-2010-0847, CVE-2010-0848, CVE-2010-0849, CVE-2010-0850, CVE-2010-0886, CVE-2010-0887

BID: 39062, 39065, 39067, 39068, 39069, 39070, 39071, 39072, 39073, 39075, 39077, 39078, 39081, 39082, 39083, 39084, 39085, 39086, 39088, 39089, 39090, 39091, 39093, 39094, 39095, 39096, 39492

GLSA: 201006-18

CWE: 310