RHEL 4:SatelliteサーバーのSun Java Runtime(RHSA-2009 1662)

critical Nessus プラグイン ID 53539

概要

リモートのRed Hatホストに1つ以上のセキュリティ更新プログラムがありません。

説明

いくつかのセキュリティ問題を修正する更新済みの java-1.5.0-sun パッケージが、Red Hat Network Satellite Server 5.1 で現在利用可能です。

この更新は、Red Hat セキュリティレスポンスチームによりセキュリティインパクトが小さいと評価されています。

この更新は、Red Hat Network Satellite Server 5.1 の一部として出荷される Sun Java Runtime Environment におけるいくつかのセキュリティ脆弱性を修正します。通常の運用環境では、ランタイムが信頼できないアプレットで使用されることはないため、このようなセキュリティリスクは高くありません。

複数の欠陥が Sun Java 5 Runtime 環境で修正されました。
(CVE-2006-2426、CVE-2008-2086、CVE-2009-1093、CVE-2009-1094、CVE-2009-1095、CVE-2009-1096、CVE-2009-1098、CVE-2009-1099、CVE-2009-1100、CVE-2009-1103、CVE-2009-1104、CVE-2009-1107、CVE-2009-2409、CVE-2009-2475、CVE-2009-2625、CVE-2009-2670、CVE-2009-2671、CVE-2009-2672、CVE-2009-2673、CVE-2009-2675、CVE-2009-2676、CVE-2009-2689、CVE-2009-3728、CVE-2009-3873、CVE-2009-3876、CVE-2009-3877、CVE-2009-3879、CVE-2009-3880、CVE-2009-3881、CVE-2009-3882、CVE-2009-3883、CVE-2009-3884)

注:Sun Java SE Release ファミリー 5.0 はすでにサービスが終了しているため、これが java-1.5.0-sun パッケージの最後の更新です。Sun Java SE 5.0 の代替品は IBM Developer Kit for Linux の Java 2 Technology Edition で、これは Red Hat Network の Satellite 5.1 チャネルから利用可能です。

長期的なソリューションとして、Red Hat はユーザーに対して、Sun Java SE 5.0 から IBM Developer Kit for Linux の Java 2 Technology Edition に切り替えることを推奨します。手順についは、「ソリューション」セクションを参照してください。

Red Hat Network Satellite Server 5.1 のユーザーは、これらの問題を解決する更新済みの java-1.5.0-sun パッケージにアップグレードすることが推奨されます。
更新を有効にするには、 Sun Java のすべての実行しているインスタンスを再起動する必要があります。

ソリューション

影響を受ける java-1.5.0-sun および/または java-1.5.0-sun-devel パッケージを更新してください。

参考資料

https://access.redhat.com/security/cve/cve-2006-2426

https://access.redhat.com/security/cve/cve-2008-2086

https://access.redhat.com/security/cve/cve-2009-1093

https://access.redhat.com/security/cve/cve-2009-1094

https://access.redhat.com/security/cve/cve-2009-1095

https://access.redhat.com/security/cve/cve-2009-1096

https://access.redhat.com/security/cve/cve-2009-1098

https://access.redhat.com/security/cve/cve-2009-1099

https://access.redhat.com/security/cve/cve-2009-1100

https://access.redhat.com/security/cve/cve-2009-1103

https://access.redhat.com/security/cve/cve-2009-1104

https://access.redhat.com/security/cve/cve-2009-1107

https://access.redhat.com/security/cve/cve-2009-2409

https://access.redhat.com/security/cve/cve-2009-2475

https://access.redhat.com/security/cve/cve-2009-2625

https://access.redhat.com/security/cve/cve-2009-2670

https://access.redhat.com/security/cve/cve-2009-2671

https://access.redhat.com/security/cve/cve-2009-2672

https://access.redhat.com/security/cve/cve-2009-2673

https://access.redhat.com/security/cve/cve-2009-2675

https://access.redhat.com/security/cve/cve-2009-2676

https://access.redhat.com/security/cve/cve-2009-2689

https://access.redhat.com/security/cve/cve-2009-3728

https://access.redhat.com/security/cve/cve-2009-3873

https://access.redhat.com/security/cve/cve-2009-3876

https://access.redhat.com/security/cve/cve-2009-3877

https://access.redhat.com/security/cve/cve-2009-3879

https://access.redhat.com/security/cve/cve-2009-3880

https://access.redhat.com/security/cve/cve-2009-3881

https://access.redhat.com/security/cve/cve-2009-3882

https://access.redhat.com/security/cve/cve-2009-3883

https://access.redhat.com/security/cve/cve-2009-3884

https://access.redhat.com/errata/RHSA-2009:1662

プラグインの詳細

深刻度: Critical

ID: 53539

ファイル名: redhat-RHSA-2009-1662.nasl

バージョン: 1.25

タイプ: local

エージェント: unix

公開日: 2011/4/23

更新日: 2021/1/14

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.8

CVSS v2

リスクファクター: Critical

Base Score: 10

Temporal Score: 7.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:java-1.5.0-sun, p-cpe:/a:redhat:enterprise_linux:java-1.5.0-sun-devel, cpe:/o:redhat:enterprise_linux:4

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2009/12/11

脆弱性公開日: 2006/5/17

エクスプロイト可能

Metasploit (Sun Java JRE AWT setDiffICM Buffer Overflow)

参照情報

CVE: CVE-2006-2426, CVE-2008-2086, CVE-2009-1093, CVE-2009-1094, CVE-2009-1095, CVE-2009-1096, CVE-2009-1097, CVE-2009-1098, CVE-2009-1099, CVE-2009-1100, CVE-2009-1103, CVE-2009-1104, CVE-2009-1107, CVE-2009-2409, CVE-2009-2475, CVE-2009-2625, CVE-2009-2670, CVE-2009-2671, CVE-2009-2672, CVE-2009-2673, CVE-2009-2675, CVE-2009-2676, CVE-2009-2689, CVE-2009-3403, CVE-2009-3728, CVE-2009-3873, CVE-2009-3876, CVE-2009-3877, CVE-2009-3879, CVE-2009-3880, CVE-2009-3881, CVE-2009-3882, CVE-2009-3883, CVE-2009-3884, CVE-2010-0079

BID: 32620, 34240, 35922, 35939, 35943, 35944, 35946, 35958, 36881

CWE: 119, 16, 189, 200, 22, 264, 310, 399, 94

RHSA: 2009:1662