Oracle Java SE 7 < Update 11 複数の脆弱性

high Nessus プラグイン ID 63521

概要

リモート Windows ホストのプログラミングプラットフォームが、複数の脆弱性による影響を受ける可能性があります。

説明

リモートホストにインストールされている Oracle(旧 Sun)Java SE または Java for Business のバージョンが、 7 Update 11 より前で、このために次のセキュリティの問題の影響を受ける可能性があります:

- 特定されない問題が、 Libraries コンポーネントに存在します。(CVE-2012-3174)

- 「MBeanInstantiator.findClass」のメソッドでエラーが存在し、これにより、リモートの任意のコードが実行される可能性があります。
(CVE-2013-0422)

アドバイザリによれば、これらの問題は、Java のクライアント展開にしか当てはまらず、信頼されない「Java Web Start」アプリケーションや信頼されない Java アプレットによってのみ悪用されますので注意してください。

ソリューション

JDK / JRE 7 Update 11 以降に更新し、必要に応じて影響を受けるバージョンを削除してください。

関連情報

https://www.zerodayinitiative.com/advisories/ZDI-13-002/

http://www.nessus.org/u?eaf95a3d

https://www.oracle.com/technetwork/java/javase/7u11-relnotes-1896856.html

プラグインの詳細

深刻度: High

ID: 63521

ファイル名: oracle_java7_update11.nasl

バージョン: 1.19

タイプ: local

エージェント: windows

ファミリー: Windows

公開日: 2013/1/14

更新日: 2022/4/11

サポートされているセンサー: Nessus Agent

リスク情報

CVSS スコアのソース: CVE-2013-0422

VPR

リスクファクター: Critical

スコア: 9.8

CVSS v2

リスクファクター: Critical

Base Score: 10

Temporal Score: 8.7

ベクトル: AV:N/AC:L/Au:N/C:C/I:C/A:C

現状ベクトル: E:H/RL:OF/RC:C

CVSS v3

リスクファクター: High

Base Score: 8.8

Temporal Score: 8.4

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

現状ベクトル: E:H/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:oracle:jre, cpe:/a:oracle:jdk

必要な KB アイテム: SMB/Java/JRE/Installed

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2013/1/13

脆弱性公開日: 2013/1/10

エクスプロイト可能

CANVAS (CANVAS)

Core Impact

Metasploit (Java Applet JMX Remote Code Execution)

参照情報

CVE: CVE-2012-3174, CVE-2013-0422

BID: 57246, 57312

CERT: 625617

EDB-ID: 24045