RHEL 5:java-1.6.0-ibm(RHSA-2008:0267)

high Nessus プラグイン ID 63854

概要

リモート Red Hat ホストに 1 つ以上のセキュリティ更新がありません。

説明

複数のセキュリティ問題を修正する更新済みの java-1.6.0-openjdk パッケージが、 Red Hat Enterprise Linux 5 で利用できるようになりました。

Red Hat セキュリティレスポンスチームは、この更新には重大なセキュリティインパクトがあるものとして評価しています。

IBM 1.6.0 Java リリースには、IBM Java 2 Runtime Environment および IBM Java 2 ソフトウェア開発キットが含まれています。

Java XSLT 処理クラスに欠陥が見つかりました。信頼されないアプリケーションまたはアプレットにより、サービス拒否が引き起こされたり、 JRE を実行しているユーザーの権限で任意のコードが実行されたりする可能性があります。
(CVE-2008-1187)

Java Web Start(JWS)にいくつかのバッファオーバーフローの欠陥が見つかりました。信頼できない JNLP アプリケーションがローカルファイルにアクセスしたり、または JRE を実行しているユーザーがアクセス可能なローカルアプリケーションを実行する可能性があります。(CVE-2008-1188、CVE-2008-1189、CVE-2008-1190、 CVE-2008-1191、CVE-2008-1196)

Java プラグインに欠陥が見つかりました。リモートの攻撃者が、同一生成元ポリシーをバイパスし、JRE を実行しているユーザの権限で任意のコードを実行する可能性があります。(CVE-2008-1192)

JRE イメージ解析ライブラリに欠陥が見つかりました。信頼できないアプリケーションまたはアプレットにより、サービス拒否が引き起こされたり、JRE を実行しているユーザーの権限で任意のコードが実行されたりする可能性があります。(CVE-2008-1193)

JRE カラーマネージメントライブラリに欠陥が見つかりました。信頼されないアプリケーションまたはアプレットにより、サービス拒否(JVM のクラッシュ)が発生させられる可能性があります。
(CVE-2008-1194)

JRE で、信頼されない JavaScript コードが Java API を使用してローカルネットワーク接続を作成することが可能でした。リモートの攻撃者が、この欠陥を利用して、ローカルネットワークサービスにアクセスすることが可能です。(CVE-2008-1195)

java-1.6.0-ibm の全ユーザーは、IBM 1.6.0 SR1 Java リリースが含まれるこれらの更新済みパッケージにアップグレードし、これらの問題を解決することが推奨されます。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://access.redhat.com/security/cve/cve-2008-1187

https://access.redhat.com/security/cve/cve-2008-1188

https://access.redhat.com/security/cve/cve-2008-1189

https://access.redhat.com/security/cve/cve-2008-1190

https://access.redhat.com/security/cve/cve-2008-1191

https://access.redhat.com/security/cve/cve-2008-1192

https://access.redhat.com/security/cve/cve-2008-1193

https://access.redhat.com/security/cve/cve-2008-1194

https://access.redhat.com/security/cve/cve-2008-1195

https://access.redhat.com/security/cve/cve-2008-1196

https://www.ibm.com/us-en/?ar=1

https://access.redhat.com/errata/RHSA-2008:0267

プラグインの詳細

深刻度: High

ID: 63854

ファイル名: redhat-RHSA-2008-0267.nasl

バージョン: 1.18

タイプ: local

エージェント: unix

公開日: 2013/1/24

更新日: 2021/1/14

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 8.9

CVSS v2

リスクファクター: High

Base Score: 9.3

Temporal Score: 8.1

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:java-1.6.0-ibm, p-cpe:/a:redhat:enterprise_linux:java-1.6.0-ibm-accessibility, p-cpe:/a:redhat:enterprise_linux:java-1.6.0-ibm-demo, p-cpe:/a:redhat:enterprise_linux:java-1.6.0-ibm-devel, p-cpe:/a:redhat:enterprise_linux:java-1.6.0-ibm-javacomm, p-cpe:/a:redhat:enterprise_linux:java-1.6.0-ibm-jdbc, p-cpe:/a:redhat:enterprise_linux:java-1.6.0-ibm-plugin, p-cpe:/a:redhat:enterprise_linux:java-1.6.0-ibm-src, cpe:/o:redhat:enterprise_linux:5, cpe:/o:redhat:enterprise_linux:5.1

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2008/5/19

脆弱性公開日: 2008/3/6

エクスプロイト可能

CANVAS (D2ExploitPack)

参照情報

CVE: CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1192, CVE-2008-1193, CVE-2008-1194, CVE-2008-1195, CVE-2008-1196

BID: 28083

CWE: 119, 264

RHSA: 2008:0267