Oracle Linux 6:icedtea-web(ELSA-2013-0753)
medium Nessus プラグイン ID 68813
Language:
概要
リモート Oracle Linux ホストに、1 つ以上のセキュリティ更新がありません。説明
Red Hat セキュリティアドバイザリ 2013:0753 から:2 つのセキュリティ問題を修正する更新済みの icedtea-web パッケージが、 Red Hat Enterprise Linux 6 で現在利用可能です。
Red Hat セキュリティレスポンスチームは、この更新のセキュリティ上の影響は中程度であると評価しています。詳細な重要度の評価を提供する Common Vulnerability Scoring System (CVSS)のベーススコアが、「参照」セクションの CVE リンクの各脆弱性に対して利用可能です。
IcedTea-Web プロジェクトは、Java Web ブラウザのプラグインおよび Netx プロジェクトに基づく Java Web Start の実装を提供しています。
また、プラグインおよび Web Start 実装のデプロイメント設定を管理する構成ツールも含んでいます。
IcedTea-Web プラグインが、異なるドメインから派生している場合でも、コードベース属性の同一値のあるアプレットの同一クラスローダーインスタンスを間違って使用したことが、発見されました。
悪意あるアプレットがこの欠陥を悪用して、ブラウザで現在実行中の異なるドメインのアプレットの情報を取得し、それらのアプレットを操作する可能性があります。(CVE-2013-1926)
IcedTea-Web プラグインがダウンロードされた Java Archive(JAR)ファイルの形式を適切にチェックしませんでした。これにより、異なる形式でファイルに隠されているコードをプラグインに実行させ、特別なファイルタイプのアップロードを許可する Web サイトのコンテキストで攻撃者がコードを実行することが可能です。これは、GIFAR 攻撃として知られています。
(CVE-2013-1927)
CVE-2013-1926 の課題が Red Hat OpenJDK チームの Jiri Vanek に発見され、 CVE-2013-1927 が Red Hat セキュリティレスポンスチームにより発見されました。
また、このエラータは、IcedTea-Web をバージョン 1.2.3 にアップグレードします。詳細については、「参照」にリンクがある NEWS ファイルを参照してください。
IcedTea-Web の全ユーザーは、これらの更新済みパッケージへアップグレードし、これらの問題を修正する必要があります。この更新を有効にするには、IcedTea-Web ブラウザプラグインを使用する Web ブラウザを再起動する必要があります。
ソリューション
影響を受ける icedtea-web パッケージを更新してください。参考資料
https://oss.oracle.com/pipermail/el-errata/2013-April/003415.html
プラグインの詳細
深刻度: Medium
ID: 68813
ファイル名: oraclelinux_ELSA-2013-0753.nasl
バージョン: 1.8
タイプ: local
エージェント: unix
公開日: 2013/7/12
更新日: 2021/1/14
サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: Medium
基本値: 6.8
現状値: 5
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
脆弱性情報
CPE: p-cpe:/a:oracle:linux:icedtea-web, p-cpe:/a:oracle:linux:icedtea-web-javadoc, cpe:/o:oracle:linux:6
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2013/4/18
脆弱性公開日: 2013/4/29
参照情報
CVE: CVE-2013-1926, CVE-2013-1927
RHSA: 2013:0753