Sun Java JRE の複数の脆弱性(263408 / 263409 / 263428 など)(Unix)

critical Nessus プラグイン ID 64830
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモート Unix ホストに、複数の脆弱性の影響を受けるランタイム環境があります。

説明

リモートホストにインストールされている Sun Java Runtime Environment(JRE)は、 6 Update 15 / 5.0 Update 20 / 1.4.2_22 / 1.3.1_26 より前のバージョンです。これらのバージョンは、以下のセキュリティ問題の影響を受ける可能性があります。

- JRE オーディオシステムの脆弱性により、システムプロパティにアクセスできることがあります。(263408)

- JRE SOCKS プロキシ実装に、権限昇格の脆弱性が存在する可能性があります。(263409)

- JPEG 画像解析時の整数オーバーフローの脆弱性により、信頼できない Java Web Start アプリケーションが権限を昇格させる可能性があります。(263428)

- XML デジタル署名実装における HMAC ベースの XML 電子署名の検証に関する脆弱性により、認証がバイパスされる可能性があります。(263429)

- 「unpack200」JAR アンパックユーティリティを使用するアプレットおよび Java Web Start アプリケーションのアンパックでの整数オーバーフローの脆弱性により、信頼できないアプレットが権限を昇格させる可能性があります。(263488)

- XML データの解析の問題により、リモートクライアントがサービス拒否状態を生み出す可能性があります。(263489)

- 最新バージョンでない「JNLPAppletLauncher」が、信頼できない Java アプレットが任意のファイルを書き込めるように作り直される可能性があります。(263490)

ソリューション

Sun Java JDK / JRE 6 Update 15、JDK / JRE 5.0 Update 20 SDK / JRE 1.4.2_22、または SDK / JRE 1.3.1_26 または以降に更新し、必要であれば、影響を受けるバージョンを削除してください。

関連情報

https://download.oracle.com/sunalerts/1020707.1.html

https://download.oracle.com/sunalerts/1020708.1.html

https://download.oracle.com/sunalerts/1020709.1.html

https://download.oracle.com/sunalerts/1020710.1.html

https://download.oracle.com/sunalerts/1020712.1.html

https://download.oracle.com/sunalerts/1020713.1.html

https://download.oracle.com/sunalerts/1020714.1.html

プラグインの詳細

深刻度: Critical

ID: 64830

ファイル名: sun_java_jre_263408_unix.nasl

バージョン: 1.10

タイプ: local

エージェント: unix

ファミリー: Misc.

公開日: 2013/2/22

更新日: 2021/10/25

依存関係: sun_java_jre_installed_unix.nasl

リスク情報

CVSS スコアのソース: CVE-2009-2675

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Critical

Base Score: 10

Temporal Score: 7.4

ベクトル: AV:N/AC:L/Au:N/C:C/I:C/A:C

現状ベクトル: E:U/RL:OF/RC:C

脆弱性情報

CPE: cpe:/a:oracle:jre

必要な KB アイテム: Host/Java/JRE/Installed

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2009/8/5

脆弱性公開日: 2009/8/5

参照情報

CVE: CVE-2009-0217, CVE-2009-2625, CVE-2009-2670, CVE-2009-2671, CVE-2009-2672, CVE-2009-2673, CVE-2009-2674, CVE-2009-2675, CVE-2009-2676

BID: 35922, 35939, 35942, 35943, 35944, 35945, 35946, 35958

CWE: 264