概要
リモート AIX ホストに、複数の脆弱性の影響を受ける可能性のあるバージョンの Java SDK がインストールされています。
説明
リモートホストにインストールされている Java SDK のバージョンが、次の脆弱性の影響を受ける可能性があります。
- libjpeg および libjpeg-turbo に情報漏洩の欠陥があるため、リモートの攻撃者が細工された JPEG 画像を介して初期化されていないメモリにアクセスする可能性があります。
(CVE-2013-6629)
- libpng に脆弱性があるため、pngtran.c pngset.c の欠陥によりサービス拒否の攻撃が引き起こされる可能性があります。
(CVE-2013-6954)
- Oracle Java に脆弱性があるため、2D 画像処理のの欠陥によりリモートコードの実行が引き起こされる可能性があります。
(CVE-2014-0429、 CVE-2014-2401、CVE-2014-2421)
- Oracle Java に脆弱性があるため、ロガー処理の欠陥によりリモートコードの実行が引き起こされる可能性があります。
(CVE-2014-0446)
- Oracle Java の脆弱性により、Deployment サブコンポーネントの欠陥によるリモートコードの実行が可能になります。
(CVE-2014-0448、CVE-2014-0449、CVE-2014-2409、 CVE-2014-2420、CVE-2014-2428)
- Oracle Java に脆弱性があるため、リモートの攻撃者が AWT の欠陥によりセキュリティ機能をバイパスする可能性があります。
(CVE-2014-0451、CVE-2014-2412)
- Oracle Java に脆弱性があるため、リモートの攻撃者が W3CEndpointReference.java の欠陥によりセキュリティ機能をバイパスする可能性があります。(CVE-2014-0452)
- Oracle Java RSAPadding の情報漏洩の脆弱性により、リモートの攻撃者が、暗号化により保護されているタイミング情報を表示する可能性があります。(CVE-2014-0452)
- Oracle Java に脆弱性があるため、リモートの攻撃者が SignatureAndHalshAlgorithm および AlgorithmChecker の欠陥により SIGNATURE_PRIMITIVE_SET を修正する可能性があります。
(CVE-2014-0454)
- Oracle Java に脆弱性があるため、MethodHandles.java の欠陥によりリモートコードの実行が引き起こされる可能性があります。
(CVE-2014-0455)
- Oracle Java に脆弱性があるため、例外処理の欠陥によりリモートコードの実行が引き起こされる可能性があります。
(CVE-2014-0457)
- Oracle Java に脆弱性があるため、リモートの攻撃者が JAX-WS の欠陥によりセキュリティ機能をバイパスする可能性があります。
(CVE-2014-0458、CVE-2014-2423)
- サンドボックス化されたアプリケーションによる特定されない脆弱性が Oracle Java に存在します。
(CVE-2014-0459)
- Oracle Java に脆弱性があるため、リモートの攻撃者が DnsClient コンポーネントの欠陥によりなりすまし攻撃を実行する可能性があります。(CVE-2014-0460)
- Oracle Java に脆弱性があるため、ScriptEngineManager.java の欠陥によりリモートコードの実行が引き起こされる可能性があります。
(CVE-2014-0461)
- Oracle Java に脆弱性があるため、リモートの攻撃者が暗号保護の乱数発生の欠陥によりセキュリティ機能をバイパスする可能性があります。
(CVE-2014-0878)
- Oracle Java に権限昇格の脆弱性があるため、リモートの攻撃者が unpack200 の欠陥により任意のファイルを上書きする可能性があります。(CVE-2014-1876)
- Oracle Java に脆弱性があるため、Javadoc の欠陥によりリモートコードの実行が引き起こされる可能性があります。(CVE-2014-2398)
- Oracle Java に脆弱性があるため、リモートの攻撃者がスレッド間の非同期チャネル処理の欠陥によりセキュリティ機能をバイパスする可能性があります。
(CVE-2014-2402)
- Oracle Java に脆弱性があるため、リモートの攻撃者が JAXB の欠陥によりセキュリティ機能をバイパスする可能性があります。
(CVE-2014-2414)
- Oracle Java に脆弱性があるため、リモートの攻撃者が Java サウンドライブラリの欠陥によりセキュリティ機能をバイパスする可能性があります。(CVE-2014-2427)
ソリューション
修正はバージョン別に利用可能で、AIX のウェブサイトからダウンロードできます。
プラグインの詳細
ファイル名: aix_java_apr2014_advisory.nasl
サポートされているセンサー: Nessus
リスク情報
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
脆弱性情報
CPE: cpe:/o:ibm:aix, cpe:/a:oracle:java
必要な KB アイテム: Host/local_checks_enabled, Host/AIX/version, Host/AIX/lslpp
エクスプロイトの容易さ: No known exploits are available
参照情報
CVE: CVE-2013-6629, CVE-2013-6954, CVE-2014-0429, CVE-2014-0446, CVE-2014-0448, CVE-2014-0449, CVE-2014-0451, CVE-2014-0452, CVE-2014-0453, CVE-2014-0454, CVE-2014-0455, CVE-2014-0457, CVE-2014-0458, CVE-2014-0459, CVE-2014-0460, CVE-2014-0461, CVE-2014-0878, CVE-2014-1876, CVE-2014-2398, CVE-2014-2401, CVE-2014-2402, CVE-2014-2409, CVE-2014-2412, CVE-2014-2414, CVE-2014-2420, CVE-2014-2421, CVE-2014-2423, CVE-2014-2427, CVE-2014-2428
BID: 63676, 65568, 66856, 66866, 66873, 66879, 66881, 66883, 66887, 66891, 66894, 66898, 66899, 66902, 66903, 66905, 66909, 66910, 66914, 66916, 66920, 64493, 66870, 66907, 66911, 66915, 66919, 66904, 67601