RHEL 5:java-1.6.0-ibm(RHSA-2008:0267)
high Nessus プラグイン ID 63854
Language:
概要
リモート Red Hat ホストに 1 つ以上のセキュリティ更新がありません。説明
複数のセキュリティ問題を修正する更新済みの java-1.6.0-openjdk パッケージが、 Red Hat Enterprise Linux 5 で利用できるようになりました。Red Hat セキュリティレスポンスチームは、この更新には重大なセキュリティインパクトがあるものとして評価しています。
IBM 1.6.0 Java リリースには、IBM Java 2 Runtime Environment および IBM Java 2 ソフトウェア開発キットが含まれています。
Java XSLT 処理クラスに欠陥が見つかりました。信頼されないアプリケーションまたはアプレットにより、サービス拒否が引き起こされたり、 JRE を実行しているユーザーの権限で任意のコードが実行されたりする可能性があります。
(CVE-2008-1187)
Java Web Start(JWS)にいくつかのバッファオーバーフローの欠陥が見つかりました。信頼できない JNLP アプリケーションがローカルファイルにアクセスしたり、または JRE を実行しているユーザーがアクセス可能なローカルアプリケーションを実行する可能性があります。(CVE-2008-1188、CVE-2008-1189、CVE-2008-1190、 CVE-2008-1191、CVE-2008-1196)
Java プラグインに欠陥が見つかりました。リモートの攻撃者が、同一生成元ポリシーをバイパスし、JRE を実行しているユーザの権限で任意のコードを実行する可能性があります。(CVE-2008-1192)
JRE イメージ解析ライブラリに欠陥が見つかりました。信頼できないアプリケーションまたはアプレットにより、サービス拒否が引き起こされたり、JRE を実行しているユーザーの権限で任意のコードが実行されたりする可能性があります。(CVE-2008-1193)
JRE カラーマネージメントライブラリに欠陥が見つかりました。信頼されないアプリケーションまたはアプレットにより、サービス拒否(JVM のクラッシュ)が発生させられる可能性があります。
(CVE-2008-1194)
JRE で、信頼されない JavaScript コードが Java API を使用してローカルネットワーク接続を作成することが可能でした。リモートの攻撃者が、この欠陥を利用して、ローカルネットワークサービスにアクセスすることが可能です。(CVE-2008-1195)
java-1.6.0-ibm の全ユーザーは、IBM 1.6.0 SR1 Java リリースが含まれるこれらの更新済みパッケージにアップグレードし、これらの問題を解決することが推奨されます。
ソリューション
影響を受けるパッケージを更新してください。参考資料
https://access.redhat.com/security/cve/cve-2008-1187
https://access.redhat.com/security/cve/cve-2008-1188
https://access.redhat.com/security/cve/cve-2008-1189
https://access.redhat.com/security/cve/cve-2008-1190
https://access.redhat.com/security/cve/cve-2008-1191
https://access.redhat.com/security/cve/cve-2008-1192
https://access.redhat.com/security/cve/cve-2008-1193
https://access.redhat.com/security/cve/cve-2008-1194
https://access.redhat.com/security/cve/cve-2008-1195
https://access.redhat.com/security/cve/cve-2008-1196
プラグインの詳細
深刻度: High
ID: 63854
ファイル名: redhat-RHSA-2008-0267.nasl
バージョン: 1.18
タイプ: local
エージェント: unix
公開日: 2013/1/24
更新日: 2021/1/14
サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: High
スコア: 8.9
CVSS v2
リスクファクター: High
基本値: 9.3
現状値: 8.1
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
脆弱性情報
CPE: p-cpe:/a:redhat:enterprise_linux:java-1.6.0-ibm, p-cpe:/a:redhat:enterprise_linux:java-1.6.0-ibm-accessibility, p-cpe:/a:redhat:enterprise_linux:java-1.6.0-ibm-demo, p-cpe:/a:redhat:enterprise_linux:java-1.6.0-ibm-devel, p-cpe:/a:redhat:enterprise_linux:java-1.6.0-ibm-javacomm, p-cpe:/a:redhat:enterprise_linux:java-1.6.0-ibm-jdbc, p-cpe:/a:redhat:enterprise_linux:java-1.6.0-ibm-plugin, p-cpe:/a:redhat:enterprise_linux:java-1.6.0-ibm-src, cpe:/o:redhat:enterprise_linux:5, cpe:/o:redhat:enterprise_linux:5.1
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2008/5/19
脆弱性公開日: 2008/3/6
エクスプロイト可能
CANVAS (D2ExploitPack)
参照情報
CVE: CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1192, CVE-2008-1193, CVE-2008-1194, CVE-2008-1195, CVE-2008-1196
BID: 28083