SuSE9 セキュリティ更新:IBM Java(YOU パッチ番号 12626)

high Nessus プラグイン ID 49101

言語 :

New! Vulnerability Priority Rating (VPR)

Tenable では、すべての脆弱性に対して動的な VPR が計算されます。VPR は脆弱性の情報を、脅威インテリジェンスや機械学習アルゴリズムと組み合わせて、攻撃時に最も悪用される可能性の高い脆弱性を予測します。詳細は、 「VPR とは何で、CVSS とはどう違うのか」を参照してください。

VPR スコア : 9

概要

リモート SuSE 9 ホストにセキュリティ関連のパッチがありません。

説明

この更新では IBM Java 1.4.2 が SR13 FP5 に更新され、さまざまなバグとセキュリティ問題が修正されます:

- Oracle Java SE および Java for Business 6 Update 18、 5.0 Update 23 および 1.4.2_25 の Java Runtime Environment コンポーネントでの未特定の脆弱性により、リモートの攻撃者が不明なベクトルを介して機密性に影響を与えることができます。(CVE-2010-0084)

- Oracle Java SE および Java for Business 6 Update 18、5.0 Update 23、1.4.225 および 1.3.127 の Java Runtime Environment コンポーネントの未特定の脆弱性により、リモートの攻撃者が不明なベクトルを介して機密性、整合性、可用性に影響を与えることが可能です。(CVE-2010-0085)

- Oracle Java SE および Java for Business 6 Update 18、5.0 Update 23、1.4.225 および 1.3.127 の Java Web Start、Java プラグインコンポーネントの未特定の脆弱性により、リモートの攻撃者が不明なベクトルを介して機密性、整合性、可用性に影響を与えることが可能です。(CVE-2010-0087)

- Oracle Java SE および Java for Business 6 Update 18、5.0 Update 23、1.4.225 および 1.3.127 の Java Runtime Environment コンポーネントの未特定の脆弱性により、リモートの攻撃者が不明なベクトルを介して機密性、整合性、可用性に影響を与えることが可能です。(CVE-2010-0088)

- Oracle Java SE および Java for Business 6 Update 18、5.0 Update 23 および 1.4.2_25 の Java Web Start、Java プラグインコンポーネントの未特定の脆弱性により、リモートの攻撃者が不明なベクトルを介して可用性に影響を与えることが可能です。(CVE-2010-0089)

- Oracle Java SE および Java for Business 6 Update 18、 5.0 Update 23 および 1.4.2_25 の Java Runtime Environment コンポーネントでの未特定の脆弱性により、リモートの攻撃者が不明なベクトルを介して機密性に影響を与えることができます。(CVE-2010-0091)

- Oracle Java SE および Java for Business 6 Update 18、5.0 Update 23 および 1.4.2_25 の Java Runtime Environment コンポーネントの未特定の脆弱性により、リモートの攻撃者が不明なベクトルを介して機密性、整合性、可用性に影響を与えることが可能です。(CVE-2010-0095)

- Oracle Java SE および Java for Business 6 Update 18、5.0 Update 23、1.4.2_25 および 1.3.1_27 の Sound コンポーネントの未特定の脆弱性により、リモートの攻撃者が不明なベクトルを介して機密性、整合性、可用性に影響を与えることが可能です。(CVE-2010-0839)

- Oracle Java SE および Java for Business 6 Update 18、5.0 Update 23 および 1.4.2_25 の Java Runtime Environment コンポーネントの未特定の脆弱性により、リモートの攻撃者が不明なベクトルを介して機密性、整合性、可用性に影響を与えることが可能です。注:前述の情報は March 2010 CPU から取得されました。Oracle は、これが Java Runtime Environment (JRE) で特別に許可されたメソッドを実行するときの不適切なチェックに関連しているという、信頼できる研究者による主張についてコメントしていません。これにより、攻撃者は (1) 信頼できるクラスを拡張するが特定のメソッドを変更していない、信頼できないオブジェクト、または (2) インターフェイスの同様の信頼問題(別名「リモートコード実行を連鎖する信頼できる方法の脆弱性」)を介して、任意のコードを実行できます。
(CVE-2010-0840)

- Oracle Java SE および Java for Business 6 Update 18、5.0 Update 23 および 1.4.2_25 の ImageIO コンポーネントの未特定の脆弱性により、リモートの攻撃者が不明なベクトルを介して機密性、整合性、可用性に影響を与えることが可能です。注:前述の情報は March 2010 CPU から取得されました。Oracle は、これが Java Runtime Environment 内の整数オーバーフローであり、これによってリモートの攻撃者が JPEGImageReader および「stepX」に関連する、大きな値を持つサブサンプル範囲を含む JPEG イメージを介して任意のコードを実行できるという、信頼できる研究者による主張についてコメントしていません。
(CVE-2010-0841)

- Oracle Java SE および Java for Business 6 Update 18、5.0 Update 23、1.4.2_25 および 1.3.1_27 の Sound コンポーネントの未特定の脆弱性により、リモートの攻撃者が不明なベクトルを介して機密性、整合性、可用性に影響を与えることが可能です。注:前述の情報は March 2010 CPU から取得されました。Oracle は、これが GM_Song 構造に関連した、制御されない配列インデックスであり、これによってリモートの攻撃者は細工された MixerSequencer オブジェクトが含まれている MIDI ファイルを介して任意のコードを実行できるという、信頼できる研究者による主張について、コメントしていません。(CVE-2010-0842)

- Oracle Java SE および Java for Business 6 Update 18、5.0 Update 23、1.4.2_25 および 1.3.1_27 の Sound コンポーネントの未特定の脆弱性により、リモートの攻撃者が不明なベクトルを介して機密性、整合性、可用性に影響を与えることが可能です。注:前述の情報は March 2010 CPU から取得されました。Oracle は、これが XNewPtr、および com.sun.media.sound ライブラリでヒープメモリを割り当てるときの整数パラメーターの不適切な処理に関連しており、これによってリモートの攻撃者は任意のコードを実行できるという、信頼できる研究者による主張について、コメントしていません。(CVE-2010-0843)

- Oracle Java SE および Java for Business 6 Update 18、5.0 Update 23、1.4.2_25 および 1.3.1_27 の Sound コンポーネントの未特定の脆弱性により、リモートの攻撃者が不明なベクトルを介して機密性、整合性、可用性に影響を与えることが可能です。注:前述の情報は March 2010 CPU から取得されました。Oracle は、これが MixerSequencer オブジェクトを作成するときの細工された MIDI ストリームの不適切な解析によるものであり、これによってポインターが破損して、任意のメモリへの NULL バイト書き込みが可能になるという、信頼できる研究者による主張について、コメントしていません。(CVE-2010-0844)

- Oracle Java SE および Java for Business 6 Update 18、5.0 Update 23、1.4.2_25 および 1.3.1_27 の ImageIO コンポーネントの未特定の脆弱性により、リモートの攻撃者が不明なベクトルを介して機密性、整合性、可用性に影響を与えることが可能です。注:前述の情報は March 2010 CPU から取得されました。Oracle は、これが、リモートの攻撃者による任意のコード実行を可能にするヒープベースのバッファオーバーフローであり、JPEG イメージエンコーダー(JPEGImageEncoderImpl)の「無効な割り当て」および矛盾した長さの値に関連しているという、信頼できる研究者による主張についてコメントしていません。
(CVE-2010-0846)

- Oracle Java SE および Java for Business 6 Update 18、5.0 Update 23、1.4.2_25、および 1.3.1_27 の Java 2D コンポーネントの未特定の脆弱性により、リモートの攻撃者が不明なベクトルを介して機密性、整合性、可用性に影響を与えることが可能です。注:前述の情報は March 2010 CPU から取得されました。Oracle は、これがヒープベースのバッファオーバーフローであり、細工されたイメージを介した任意のコード実行を可能にするという、信頼できる研究者による主張についてコメントしていません。
(CVE-2010-0847)

- Oracle Java SE および Java for Business 6 Update 18、5.0 Update 23、1.4.2_25、および 1.3.1_27 の Java 2D コンポーネントの未特定の脆弱性により、リモートの攻撃者が不明なベクトルを介して機密性、整合性、可用性に影響を与えることが可能です。(CVE-2010-0848)

- Oracle Java SE および Java for Business 6 Update 18、5.0 Update 23、1.4.2_25、および 1.3.1_27 の Java 2D コンポーネントの未特定の脆弱性により、リモートの攻撃者が不明なベクトルを介して機密性、整合性、可用性に影響を与えることが可能です。注:前述の情報は March 2010 CPU から取得されました。Oracle は、これが JPEGImageDecoderImpl インターフェイスが使用するデコードルーチンでのヒープベースのバッファオーバーフローであり、細工された JPEG イメージを介した任意のコード実行を可能にするという、信頼できる研究者による主張についてコメントしていません。
(CVE-2010-0849)

ソリューション

YOU パッチ番号 12626 を適用してください。

関連情報

http://support.novell.com/security/cve/CVE-2010-0084.html

http://support.novell.com/security/cve/CVE-2010-0085.html

http://support.novell.com/security/cve/CVE-2010-0087.html

http://support.novell.com/security/cve/CVE-2010-0088.html

http://support.novell.com/security/cve/CVE-2010-0089.html

http://support.novell.com/security/cve/CVE-2010-0091.html

http://support.novell.com/security/cve/CVE-2010-0095.html

http://support.novell.com/security/cve/CVE-2010-0839.html

http://support.novell.com/security/cve/CVE-2010-0840.html

http://support.novell.com/security/cve/CVE-2010-0841.html

http://support.novell.com/security/cve/CVE-2010-0842.html

http://support.novell.com/security/cve/CVE-2010-0843.html

http://support.novell.com/security/cve/CVE-2010-0844.html

http://support.novell.com/security/cve/CVE-2010-0846.html

http://support.novell.com/security/cve/CVE-2010-0847.html

http://support.novell.com/security/cve/CVE-2010-0848.html

http://support.novell.com/security/cve/CVE-2010-0849.html

プラグインの詳細

深刻度: High

ID: 49101

ファイル名: suse9_12626.nasl

バージョン: 1.16

タイプ: local

エージェント: unix

公開日: 2010/9/3

更新日: 2021/1/14

依存関係: ssh_get_info.nasl

リスク情報

リスクファクター: High

VPR スコア: 9

CVSS v2.0

Base Score: 7.5

ベクトル: AV:N/AC:L/Au:N/C:P/I:P/A:P

脆弱性の情報

CPE: cpe:/o:suse:suse_linux

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2010/7/28

エクスプロイト可能

CANVAS (CANVAS)

Core Impact

Metasploit (Java MixerSequencer Object GM_Song Structure Handling Vulnerability)

参照情報

CVE: CVE-2010-0084, CVE-2010-0085, CVE-2010-0087, CVE-2010-0088, CVE-2010-0089, CVE-2010-0091, CVE-2010-0095, CVE-2010-0839, CVE-2010-0840, CVE-2010-0841, CVE-2010-0842, CVE-2010-0843, CVE-2010-0844, CVE-2010-0846, CVE-2010-0847, CVE-2010-0848, CVE-2010-0849