RHEL 4 / 5:java-1.6.0-sun(RHSA-2010:0770)
critical Nessus プラグイン ID 49990
Language:
概要
リモート Red Hat ホストに 1 つ以上のセキュリティ更新がありません。説明
いくつかのセキュリティ問題を修正する、更新済みの java-1.6.0-sun パッケージが、Red Hat Enterprise Linux 4 Extras および 5 Supplementary で現在利用可能です。Red Hat セキュリティレスポンスチームは、この更新によるセキュリティ上の影響が重大だと評価しています。詳細な重要度の評価を提供する Common Vulnerability Scoring System (CVSS)のベーススコアが、「参照」セクションの CVE リンクの各脆弱性に対して利用可能です。
Sun 1.6.0 Java リリースには、Sun Java 6 Runtime Environment および Sun Java 6 ソフトウェア開発キットが含まれています。
この更新は、Sun Java 6 Runtime Environment および Sun Java 6 ソフトウェア開発キットのいくつかの脆弱性を修正します。これらの欠陥の詳細については「Oracle Java SE and Java for Business Critical Patch Update Advisory」ページの「参照」セクションをを参照してください。(CVE-2010-1321、CVE-2010-3541、CVE-2010-3548、 CVE-2010-3549、CVE-2010-3550、CVE-2010-3551、 CVE-2010-3552、CVE-2010-3553、CVE-2010-3554、 CVE-2010-3555、CVE-2010-3556、CVE-2010-3557、 CVE-2010-3558、CVE-2010-3559、CVE-2010-3560、 CVE-2010-3561、CVE-2010-3562、CVE-2010-3563、 CVE-2010-3565、CVE-2010-3566、CVE-2010-3567、 CVE-2010-3568、CVE-2010-3569、CVE-2010-3570、 CVE-2010-3571、CVE-2010-3572、CVE-2010-3573、 CVE-2010-3574)
TLS/SSL(Transport Layer Security/Secure Sockets Layer)プロトコルで、再ネゴシエーションを無効にしてセッション再ネゴシエーションを処理する方法で、RHSA-2010:0337 更新により中間者攻撃が緩和されます。
この更新は、RFC 5746 で定義されているように TLS 再ネゴシエーションインディケーション拡張を実行し、更新されたクライアントとサーバーの間でセキュアな再ネゴシエーションを可能にします。(CVE-2009-3555)
java-1.6.0-sun のユーザーは、これらの問題を解決する、これらの更新パッケージにアップグレードする必要があります。更新を有効にするには、 Sun Java のすべての実行しているインスタンスを再起動する必要があります。
ソリューション
影響を受けるパッケージを更新してください。参考資料
https://access.redhat.com/security/cve/cve-2009-3555
https://access.redhat.com/security/cve/cve-2010-1321
https://access.redhat.com/security/cve/cve-2010-3541
https://access.redhat.com/security/cve/cve-2010-3548
https://access.redhat.com/security/cve/cve-2010-3549
https://access.redhat.com/security/cve/cve-2010-3550
https://access.redhat.com/security/cve/cve-2010-3551
https://access.redhat.com/security/cve/cve-2010-3552
https://access.redhat.com/security/cve/cve-2010-3553
https://access.redhat.com/security/cve/cve-2010-3554
https://access.redhat.com/security/cve/cve-2010-3555
https://access.redhat.com/security/cve/cve-2010-3556
https://access.redhat.com/security/cve/cve-2010-3557
https://access.redhat.com/security/cve/cve-2010-3558
https://access.redhat.com/security/cve/cve-2010-3559
https://access.redhat.com/security/cve/cve-2010-3560
https://access.redhat.com/security/cve/cve-2010-3561
https://access.redhat.com/security/cve/cve-2010-3562
https://access.redhat.com/security/cve/cve-2010-3563
https://access.redhat.com/security/cve/cve-2010-3565
https://access.redhat.com/security/cve/cve-2010-3566
https://access.redhat.com/security/cve/cve-2010-3567
https://access.redhat.com/security/cve/cve-2010-3568
https://access.redhat.com/security/cve/cve-2010-3569
https://access.redhat.com/security/cve/cve-2010-3570
https://access.redhat.com/security/cve/cve-2010-3571
https://access.redhat.com/security/cve/cve-2010-3572
https://access.redhat.com/security/cve/cve-2010-3573
https://access.redhat.com/security/cve/cve-2010-3574
http://www.nessus.org/u?bc96963b
プラグインの詳細
深刻度: Critical
ID: 49990
ファイル名: redhat-RHSA-2010-0770.nasl
バージョン: 1.36
タイプ: local
エージェント: unix
公開日: 2010/10/15
更新日: 2021/1/14
サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Critical
スコア: 9.7
CVSS v2
リスクファクター: Critical
基本値: 10
現状値: 8.7
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
脆弱性情報
CPE: p-cpe:/a:redhat:enterprise_linux:java-1.6.0-sun, p-cpe:/a:redhat:enterprise_linux:java-1.6.0-sun-demo, p-cpe:/a:redhat:enterprise_linux:java-1.6.0-sun-devel, p-cpe:/a:redhat:enterprise_linux:java-1.6.0-sun-jdbc, p-cpe:/a:redhat:enterprise_linux:java-1.6.0-sun-plugin, p-cpe:/a:redhat:enterprise_linux:java-1.6.0-sun-src, cpe:/o:redhat:enterprise_linux:4, cpe:/o:redhat:enterprise_linux:4.8, cpe:/o:redhat:enterprise_linux:5
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2010/10/14
脆弱性公開日: 2009/11/9
エクスプロイト可能
CANVAS (D2ExploitPack)
Core Impact
Metasploit (Sun Java Web Start BasicServiceImpl Code Execution)
参照情報
CVE: CVE-2009-3555, CVE-2010-1321, CVE-2010-3541, CVE-2010-3548, CVE-2010-3549, CVE-2010-3550, CVE-2010-3551, CVE-2010-3552, CVE-2010-3553, CVE-2010-3554, CVE-2010-3555, CVE-2010-3556, CVE-2010-3557, CVE-2010-3558, CVE-2010-3559, CVE-2010-3560, CVE-2010-3561, CVE-2010-3562, CVE-2010-3563, CVE-2010-3565, CVE-2010-3566, CVE-2010-3567, CVE-2010-3568, CVE-2010-3569, CVE-2010-3570, CVE-2010-3571, CVE-2010-3572, CVE-2010-3573, CVE-2010-3574
BID: 40235, 43965, 43971, 43979, 43985, 43988, 43992, 43994, 43999, 44009, 44011, 44012, 44013, 44014, 44016, 44017, 44020, 44021, 44023, 44024, 44026, 44027, 44028, 44030, 44032, 44035, 44038, 44040