AIX Java Advisory:java_jul2014_advisory.asc

critical Nessus プラグイン ID 77333
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモートの AIX ホストに、複数の脆弱性による影響を受けるバージョンの Java SDK がインストールされています。

説明

リモートホストにインストールされている Java SDK のバージョンが、次の脆弱性による影響を受けます:

- IBM Java 仮想マシンの権限昇格の脆弱性により、リモートの攻撃者が、セキュリティマネージャーのコンテキストでアクセスを増やすコードを実行することが可能です。
(CVE-2014-3086)

- データ整合性の脆弱性が Oracle Java の Deployment サブコンポーネントに存在します。(CVE-2014-4208、 CVE-2014-4220、CVE-2014-4265)

- Oracle Java の JMX サブコンポーネントの情報漏洩の脆弱性により、リモートの攻撃者が、SubjectDelegator クラスを表示または編集することが可能です。(CVE-2014-4209)

- Oracle Java の脆弱性により、リモートの攻撃者が、Libraries サブコンポーネントの「Proxy.java」の欠陥を通じて、セキュリティ機能をバイパスすることが可能です。(CVE-2014-4218)

- Oracle Java の脆弱性により、Hotspot サブコンポーネントの欠陥によるリモートコードの実行が可能です。これにより、不完全なオブジェクトが返されます。(CVE-2014-4219)

- Oracle Java の Libraries サブコンポーネントの情報漏洩の脆弱性により、リモートの攻撃者が、機密情報を表示することが可能です。(CVE-2014-4221)

- Oracle Java の脆弱性により、Deployment サブコンポーネントの欠陥によるリモートコードの実行が可能になります。
(CVE-2014-4227)

- Oracle Java の Security サブコンポーネントに、リモートの攻撃者が、使用された鍵に関する情報などの機密情報を取得することを可能にする可能性がある、情報漏洩の脆弱性が存在します。(CVE-2014-4244、 CVE-2014-4252、CVE-2014-4263)

- Oracle Java の脆弱性により、Libraries サブコンポーネントのメモリ破損の欠陥によるリモートコードの実行が可能です。(CVE-2014-4262)

- Serviceability サブコンポーネント内の Oracle Java に、関数戻り値が正しくないことによる、データ整合性の脆弱性が存在します。(CVE-2014-4266)

- Oracle Java の Swing サブコンポーネントの情報漏洩の脆弱性により、リモートの攻撃者が、制限されたファイルコンテンツを表示することが可能です。(CVE-2014-4268)

ソリューション

修正はバージョン別に利用可能で、AIX のウェブサイトからダウンロードできます。

関連情報

http://www.nessus.org/u?0cd279e0

http://www.nessus.org/u?aacaab25

http://www.nessus.org/u?70623e16

http://www.nessus.org/u?1d08dc51

http://www.nessus.org/u?4ca2561a

http://www.nessus.org/u?a624fae8

http://www.nessus.org/u?aa3fc787

http://www.nessus.org/u?e42e2673

http://www.nessus.org/u?ae6bb0ba

http://www.ibm.com/developerworks/java/jdk/aix/service.html#levels

プラグインの詳細

深刻度: Critical

ID: 77333

ファイル名: aix_java_jul2014_advisory.nasl

バージョン: 1.11

タイプ: local

ファミリー: AIX Local Security Checks

公開日: 2014/8/22

更新日: 2021/1/4

依存関係: ssh_get_info.nasl

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Critical

Base Score: 10

Temporal Score: 8.7

ベクトル: AV:N/AC:L/Au:N/C:C/I:C/A:C

現状ベクトル: E:ND/RL:OF/RC:C

脆弱性情報

CPE: cpe:/o:ibm:aix, cpe:/a:oracle:java

必要な KB アイテム: Host/AIX/lslpp, Host/local_checks_enabled, Host/AIX/version

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2014/8/18

脆弱性公開日: 2014/2/6

参照情報

CVE: CVE-2014-3086, CVE-2014-4208, CVE-2014-4209, CVE-2014-4218, CVE-2014-4219, CVE-2014-4220, CVE-2014-4221, CVE-2014-4227, CVE-2014-4244, CVE-2014-4252, CVE-2014-4262, CVE-2014-4263, CVE-2014-4265, CVE-2014-4266, CVE-2014-4268

BID: 68571, 68576, 68580, 68583, 68596, 68599, 68603, 68615, 68620, 68624, 68632, 68636, 68639, 68642, 69183