SuSE9 セキュリティ更新:IBM Java JRE および SDK(YOU パッチ番号 12682)

critical Nessus プラグイン ID 52629

概要

リモート SuSE 9 ホストにセキュリティ関連のパッチがありません。

説明

IBM Java 1.4.2 SR13 は FP8 に更新され、多様なバグとセキュリティ問題が修正されました。

以下のセキュリティ問題が解決されました:

- MIT Kerberos 5(別名krb5)バージョン1.8.2以前の1.7.1~1.8におけるGSS-APIライブラリ内のkrb5/accept_sec_context.cにあるkg_accept_krb5関数がkadmindおよびその他のアプリケーションで使用されると、無効なGSS-APIトークンを適切にチェックしません。これにより、認証されたリモートユーザーは、認証システムのチェックサムフィールドが欠落しているAP-REQメッセージを介してサービス拒否(NULLポインターデリファレンスおよびデーモンのクラッシュ)を引き起こすことが可能です。(CVE-2010-1321)

- Oracle Java SE および Java for Business 6 Update 21、5.0 Update 25、1.4.2_27、および 1.3.1_28 のネットワーキングコンポーネントにおける詳細不明の脆弱性により、リモートの攻撃者が不明なベクトルを介して機密性、整合性および可用性に影響を与えることが可能です。注:前述の情報は October 2010 CPU から取得されました。
Oracle は、信頼できないコードによる HTTP TRACE リクエストの実行を可能にする allowHttpTrace 権限を HttpURLConnection が適切にチェックしないという、信頼できる下流ベンダーによる主張についてコメントしていません。
(CVE-2010-3574)

- Java Runtime Environmentは、「2.2250738585072012e-308」をバイナリ浮動小数点値に変換すると、恒久的にハングします。(CVE-2010-4476)

ソリューション

YOU パッチ番号 12682 を適用してください。

参考資料

http://support.novell.com/security/cve/CVE-2010-1321.html

http://support.novell.com/security/cve/CVE-2010-3574.html

http://support.novell.com/security/cve/CVE-2010-4476.html

プラグインの詳細

深刻度: Critical

ID: 52629

ファイル名: suse9_12682.nasl

バージョン: 1.12

タイプ: local

エージェント: unix

公開日: 2011/3/11

更新日: 2021/1/14

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.4

CVSS v2

リスクファクター: Critical

Base Score: 10

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

脆弱性情報

CPE: cpe:/o:suse:suse_linux

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2011/2/23

参照情報

CVE: CVE-2010-1321, CVE-2010-3574, CVE-2010-4476