Oracle Java JDK / JRE 6 < Update 35 SunToolKit getField() および getMethod() のアクセスの問題

critical Nessus プラグイン ID 61746

言語:

概要

リモートホストには、一層の攻撃を助長する可能性のあるメソッドが含まれるランタイム環境が含まれています。

説明

The version of Oracle (formerly Sun) Java Runtime Environment (JRE) 6.x installed on the remote host is earlier than Update 35. このため、他のクラスに関する情報へのアクセスを適切に制限しない 2 つのメソッドが含まれている可能性があります。Specifically, the 'getField' and 'getMethod' methods in the 'sun.awt.SunToolkit' class provided by the bundled SunToolKit can be used to obtain any field or method of a class
- even private fields and methods.

なお、この問題は直接悪用できるものではなく、 CVE-2012-4681 で見つかったものなど、その他の直接悪用できる脆弱性に対する攻撃を助長する可能性があるものです。

ソリューション

Update to JDK / JRE 6 Update 35 or later and remove, if necessary, any affected versions.

関連情報

http://www.nessus.org/u?00370937

https://www.oracle.com/technetwork/java/javase/6u35-relnotes-1835788.html

プラグインの詳細

深刻度: Critical

ID: 61746

ファイル名: oracle_java6_update35.nasl

バージョン: 1.14

タイプ: local

エージェント: windows

ファミリー: Windows

公開日: 2012/8/31

更新日: 2022/4/11

構成: 徹底的なチェックを有効にする

サポートされているセンサー: Nessus Agent

リスク情報

VPR

リスクファクター: Low

スコア: 0.8

CVSS v2

リスクファクター: Critical

Base Score: 10

Temporal Score: 7.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

現状ベクトル: CVSS2#E:POC/RL:OF/RC:C

CVSS v3

リスクファクター: Critical

Base Score: 9.8

Temporal Score: 8.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:oracle:jre

必要な KB アイテム: SMB/Java/JRE/Installed

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2012/8/30

脆弱性公開日: 2012/8/10

参照情報

CVE: CVE-2012-0547

BID: 55339