検出

RHEL 5:java-1.6.0-bea(RHSA-2008:0245)

high Nessus プラグイン ID 63852

Language:

概要

リモート Red Hat ホストに 1 つ以上のセキュリティ更新がありません。

説明

いくつかのセキュリティの問題を修正する更新済みの java-1.6.0-bea パッケージが、Red Hat Enterprise Linux 5 Supplementary で現在利用可能です。

Red Hat セキュリティレスポンスチームは、この更新は重要度中のセキュリティ影響があると評価しています。

BEA WebLogic JRockit 1.6.0_03 JRE および SDK は BEA WebLogic JRockit 仮想マシン 1.6.0_03 を含んでおり、Java 6 Platform、Standard Edition、v1.6.0 について認定済みです。

Java XML 解析コードは、「external general entities」プロパティが「FALSE」に設定されていても、外部エンティティの参照を処理しました。これによって、リモートの攻撃者が XML 外部エンティティ(XXE)攻撃を行い、サービス拒否を引き起こしたり、制限されているリソースへのアクセスを取得することができました。(CVE-2008-0628)

Java XSLT 処理クラスに欠陥が見つかりました。信頼されないアプリケーションまたはアプレットにより、サービス拒否が引き起こされたり、 JRE を実行しているユーザーの権限で任意のコードが実行されたりする可能性があります。
(CVE-2008-1187)

JRE イメージ解析ライブラリに欠陥が見つかりました。信頼されないアプリケーションまたはアプレットにより、サービス拒否が引き起こされたり、 JRE を実行しているユーザーの権限で任意のコードが実行されたりする可能性があります。(CVE-2008-1193)

JRE カラーマネージメントライブラリに欠陥が見つかりました。信頼されないアプリケーションまたはアプレットにより、サービス拒否(JVM のクラッシュ)が発生させられる可能性があります。
(CVE-2008-1194)

上記で一覧されているアプレットに関する脆弱性は、「appletviewer」アプリケーションを呼び出すことにより、java-1.6.0-bea でのみ発生します。

java-1.6.0-bea のユーザーは、これらの問題を解決する、これらの更新済みパッケージにアップグレードすることが推奨されます。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://access.redhat.com/security/cve/cve-2008-0628

https://access.redhat.com/security/cve/cve-2008-1187

https://access.redhat.com/security/cve/cve-2008-1193

https://access.redhat.com/security/cve/cve-2008-1194

http://www.nessus.org/u?7cd88e8d

https://access.redhat.com/errata/RHSA-2008:0245

プラグインの詳細

深刻度: High

ID: 63852

ファイル名: redhat-RHSA-2008-0245.nasl

バージョン: 1.16

タイプ: local

エージェント: unix

公開日: 2013/1/24

更新日: 2021/1/14

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 8.9

CVSS v2

リスクファクター: High

基本値: 9.3

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:java-1.6.0-bea, p-cpe:/a:redhat:enterprise_linux:java-1.6.0-bea-demo, p-cpe:/a:redhat:enterprise_linux:java-1.6.0-bea-devel, p-cpe:/a:redhat:enterprise_linux:java-1.6.0-bea-jdbc, p-cpe:/a:redhat:enterprise_linux:java-1.6.0-bea-missioncontrol, p-cpe:/a:redhat:enterprise_linux:java-1.6.0-bea-src, cpe:/o:redhat:enterprise_linux:5, cpe:/o:redhat:enterprise_linux:5.1

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2008/4/28

脆弱性公開日: 2008/2/6

参照情報

CVE: CVE-2008-0628, CVE-2008-1187, CVE-2008-1193, CVE-2008-1194

CWE: 264

RHSA: 2008:0245