Ubuntu 14.04 LTS: OpenJDK 7 の脆弱性 (USN-2187-1)
critical Nessus プラグイン ID 73801
Language:
概要
リモート Ubuntu ホストに 1 つ以上のセキュリティ更新がありません。説明
情報漏洩、データ整合性、可用性に関連するいくつかの脆弱性が、OpenJDK JRE に発見されました。攻撃者がこれらを悪用して、サービス拒否またはネットワークでの機密データ漏洩を引き起こす可能性があります。(CVE-2014-0429、CVE-2014-0446、CVE-2014-0451、CVE-2014-0452、CVE-2014-0454、CVE-2014-0455、CVE-2014-0456、CVE-2014-0457、CVE-2014-0458、CVE-2014-0461、CVE-2014-2397、CVE-2014-2402、CVE-2014-2412、CVE-2014-2414、CVE-2014-2421、CVE-2014-2423、CVE-2014-2427)情報漏洩およびデータ整合性に関連した、2 つの脆弱性が OpenJDK JRE で発見されました。攻撃者がこれらを悪用して、ネットワークで機密データを漏洩する可能性があります。(CVE-2014-0453、CVE-2014-0460)
OpenJDK JRE に、可用性に関連する脆弱性が発見されました。攻撃者はこれらを悪用して、サービス拒否を引き起こすことがあります。(CVE-2014-0459)
Jakub Wilk 氏は、OpenJDK JRE が一時ファイルを不適切に処理していることを発見しました。ローカルの攻撃者が、この問題を利用して、任意のファイルを上書きする可能性があります。Ubuntu のデフォルトインストールの場合、これは Yama リンク制限によって防止されます。(CVE-2014-1876)
データ整合性に関連する 2 つの脆弱性が OpenJDK JRE で発見されました。(CVE-2014-2398、CVE-2014-2413)
情報漏洩に関連した脆弱性が OpenJDK JRE に見つかりました。攻撃者が、これを悪用して、ネットワークで機密データを漏洩する可能性があります。(CVE-2014-2403)。
注意: Tenable Network Security は、前述の説明ブロックをUbuntuセキュリティアドバイザリからすでに直接抽出しています。Tenable では、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。
ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: Critical
ID: 73801
ファイル名: ubuntu_USN-2187-1.nasl
バージョン: 1.14
タイプ: local
エージェント: unix
ファミリー: Ubuntu Local Security Checks
公開日: 2014/5/1
更新日: 2023/10/23
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.5
CVSS v2
リスクファクター: Critical
基本値: 10
現状値: 7.4
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2014-2421
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 8.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
CVSS スコアのソース: CVE-2014-2423
脆弱性情報
CPE: p-cpe:/a:canonical:ubuntu_linux:icedtea-7-jre-jamvm, p-cpe:/a:canonical:ubuntu_linux:openjdk-7-demo, p-cpe:/a:canonical:ubuntu_linux:openjdk-7-jdk, p-cpe:/a:canonical:ubuntu_linux:openjdk-7-jre, p-cpe:/a:canonical:ubuntu_linux:openjdk-7-jre-headless, p-cpe:/a:canonical:ubuntu_linux:openjdk-7-jre-lib, p-cpe:/a:canonical:ubuntu_linux:openjdk-7-jre-zero, p-cpe:/a:canonical:ubuntu_linux:openjdk-7-source, cpe:/o:canonical:ubuntu_linux:14.04:-:lts
必要な KB アイテム: Host/cpu, Host/Debian/dpkg-l, Host/Ubuntu, Host/Ubuntu/release
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2014/4/30
脆弱性公開日: 2014/2/10
参照情報
CVE: CVE-2014-0429, CVE-2014-0446, CVE-2014-0451, CVE-2014-0452, CVE-2014-0453, CVE-2014-0454, CVE-2014-0455, CVE-2014-0456, CVE-2014-0457, CVE-2014-0458, CVE-2014-0459, CVE-2014-0460, CVE-2014-0461, CVE-2014-1876, CVE-2014-2397, CVE-2014-2398, CVE-2014-2402, CVE-2014-2403, CVE-2014-2412, CVE-2014-2413, CVE-2014-2414, CVE-2014-2421, CVE-2014-2423, CVE-2014-2427
BID: 65568, 66856, 66866, 66873, 66877, 66879, 66881, 66883, 66887, 66891, 66893, 66894, 66898, 66899, 66902, 66903, 66905, 66909, 66910, 66914, 66916, 66917, 66918, 66920
USN: 2187-1