検出

AIX Java Advisory:java_apr2014_advisory.asc

critical Nessus プラグイン ID 76870

Language:

概要

リモート AIX ホストに、複数の脆弱性の影響を受ける可能性のあるバージョンの Java SDK がインストールされています。

説明

リモートホストにインストールされている Java SDK のバージョンが、次の脆弱性の影響を受ける可能性があります。

- libjpeg および libjpeg-turbo に情報漏洩の欠陥があるため、リモートの攻撃者が細工された JPEG 画像を介して初期化されていないメモリにアクセスする可能性があります。
 (CVE-2013-6629)

- libpng に脆弱性があるため、pngtran.c pngset.c の欠陥によりサービス拒否の攻撃が引き起こされる可能性があります。
 (CVE-2013-6954)

- Oracle Java に脆弱性があるため、2D 画像処理のの欠陥によりリモートコードの実行が引き起こされる可能性があります。
 (CVE-2014-0429、 CVE-2014-2401、CVE-2014-2421)

- Oracle Java に脆弱性があるため、ロガー処理の欠陥によりリモートコードの実行が引き起こされる可能性があります。
 (CVE-2014-0446)

- Oracle Java の脆弱性により、Deployment サブコンポーネントの欠陥によるリモートコードの実行が可能になります。
 (CVE-2014-0448、CVE-2014-0449、CVE-2014-2409、 CVE-2014-2420、CVE-2014-2428)

- Oracle Java に脆弱性があるため、リモートの攻撃者が AWT の欠陥によりセキュリティ機能をバイパスする可能性があります。
 (CVE-2014-0451、CVE-2014-2412)

- Oracle Java に脆弱性があるため、リモートの攻撃者が W3CEndpointReference.java の欠陥によりセキュリティ機能をバイパスする可能性があります。(CVE-2014-0452)

- Oracle Java RSAPadding の情報漏洩の脆弱性により、リモートの攻撃者が、暗号化により保護されているタイミング情報を表示する可能性があります。(CVE-2014-0452)

- Oracle Java に脆弱性があるため、リモートの攻撃者が SignatureAndHalshAlgorithm および AlgorithmChecker の欠陥により SIGNATURE_PRIMITIVE_SET を修正する可能性があります。
 (CVE-2014-0454)

- Oracle Java に脆弱性があるため、MethodHandles.java の欠陥によりリモートコードの実行が引き起こされる可能性があります。
 (CVE-2014-0455)

- Oracle Java に脆弱性があるため、例外処理の欠陥によりリモートコードの実行が引き起こされる可能性があります。
 (CVE-2014-0457)

- Oracle Java に脆弱性があるため、リモートの攻撃者が JAX-WS の欠陥によりセキュリティ機能をバイパスする可能性があります。
 (CVE-2014-0458、CVE-2014-2423)

- サンドボックス化されたアプリケーションによる特定されない脆弱性が Oracle Java に存在します。
 (CVE-2014-0459)

- Oracle Java に脆弱性があるため、リモートの攻撃者が DnsClient コンポーネントの欠陥によりなりすまし攻撃を実行する可能性があります。(CVE-2014-0460)

- Oracle Java に脆弱性があるため、ScriptEngineManager.java の欠陥によりリモートコードの実行が引き起こされる可能性があります。
 (CVE-2014-0461)

- Oracle Java に脆弱性があるため、リモートの攻撃者が暗号保護の乱数発生の欠陥によりセキュリティ機能をバイパスする可能性があります。
 (CVE-2014-0878)

- Oracle Java に権限昇格の脆弱性があるため、リモートの攻撃者が unpack200 の欠陥により任意のファイルを上書きする可能性があります。(CVE-2014-1876)

- Oracle Java に脆弱性があるため、Javadoc の欠陥によりリモートコードの実行が引き起こされる可能性があります。(CVE-2014-2398)

- Oracle Java に脆弱性があるため、リモートの攻撃者がスレッド間の非同期チャネル処理の欠陥によりセキュリティ機能をバイパスする可能性があります。
 (CVE-2014-2402)

- Oracle Java に脆弱性があるため、リモートの攻撃者が JAXB の欠陥によりセキュリティ機能をバイパスする可能性があります。
 (CVE-2014-2414)

- Oracle Java に脆弱性があるため、リモートの攻撃者が Java サウンドライブラリの欠陥によりセキュリティ機能をバイパスする可能性があります。(CVE-2014-2427)

ソリューション

修正はバージョン別に利用可能で、AIX のウェブサイトからダウンロードできます。

参考資料

http://www.nessus.org/u?aacaab25

http://www.nessus.org/u?70623e16

http://www.nessus.org/u?1d08dc51

http://www.nessus.org/u?4ca2561a

http://www.nessus.org/u?a624fae8

http://www.nessus.org/u?aa3fc787

http://www.ibm.com/developerworks/java/jdk/aix/service.html#levels

http://www.nessus.org/u?e42e2673

http://www.nessus.org/u?ae6bb0ba

http://www.nessus.org/u?63277512

プラグインの詳細

深刻度: Critical

ID: 76870

ファイル名: aix_java_apr2014_advisory.nasl

バージョン: 1.14

タイプ: local

ファミリー: AIX Local Security Checks

公開日: 2014/7/28

更新日: 2023/4/21

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.3

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 8.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

脆弱性情報

CPE: cpe:/o:ibm:aix, cpe:/a:oracle:java

必要な KB アイテム: Host/local_checks_enabled, Host/AIX/version, Host/AIX/lslpp

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2014/6/19

脆弱性公開日: 2013/10/28

参照情報

CVE: CVE-2013-6629, CVE-2013-6954, CVE-2014-0429, CVE-2014-0446, CVE-2014-0448, CVE-2014-0449, CVE-2014-0451, CVE-2014-0452, CVE-2014-0453, CVE-2014-0454, CVE-2014-0455, CVE-2014-0457, CVE-2014-0458, CVE-2014-0459, CVE-2014-0460, CVE-2014-0461, CVE-2014-0878, CVE-2014-1876, CVE-2014-2398, CVE-2014-2401, CVE-2014-2402, CVE-2014-2409, CVE-2014-2412, CVE-2014-2414, CVE-2014-2420, CVE-2014-2421, CVE-2014-2423, CVE-2014-2427, CVE-2014-2428

BID: 63676, 65568, 66856, 66866, 66873, 66879, 66881, 66883, 66887, 66891, 66894, 66898, 66899, 66902, 66903, 66905, 66909, 66910, 66914, 66916, 66920, 64493, 66870, 66907, 66911, 66915, 66919, 66904, 67601