Oracle JRockit R27.8.4 / R28.3.4 複数の脆弱性(2015 年 1 月 CPU)(POODLE)

medium Nessus プラグイン ID 80890
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモート Windows ホストに含まれるプログラミングプラットフォームは、複数の脆弱性の影響を受けます。

説明

リモートホストの Oracle JRockit は、次のコンポーネントで複数の脆弱性による影響を受けるバージョンです:

- ホットスポット
- JSSE
- セキュリティ

注意:CVE-2014-3566 は、暗号ブロックチェーン(CBC)モードでブロック暗号を使用して暗号化されたメッセージの復号を行う際の、SSL 3.0 のパディングバイトの処理方法に関連したエラーです。新たに作成した SSL 3.0 接続を通じて被害を受けるアプリケーションに同じデータを繰り返し送信させることができる場合、中間攻撃者は、暗号テキスト内の選択したバイトをわずか 256 回の試行で復号できます。これは「POODLE」問題としても知られています。

ソリューション

July 2015 Oracle Critical Patch Update アドバイザリで参照されているように、バージョン R27.8.5 / R28.3.5 にアップグレードしてください。

関連情報

http://www.nessus.org/u?75c6cafb

https://www.imperialviolet.org/2014/10/14/poodle.html

https://www.openssl.org/~bodo/ssl-poodle.pdf

https://tools.ietf.org/html/draft-ietf-tls-downgrade-scsv-00

プラグインの詳細

深刻度: Medium

ID: 80890

ファイル名: oracle_jrockit_cpu_jan_2015.nasl

バージョン: 1.10

タイプ: local

エージェント: windows

ファミリー: Windows

公開日: 2015/1/21

更新日: 2018/11/15

依存関係: oracle_jrockit_installed.nasl

リスク情報

VPR

リスクファクター: Medium

スコア: 5.7

CVSS v2

リスクファクター: Medium

Base Score: 5.4

Temporal Score: 4.2

ベクトル: AV:L/AC:M/Au:N/C:N/I:P/A:C

現状ベクトル: E:POC/RL:OF/RC:C

脆弱性情報

CPE: cpe:/a:oracle:jrockit

必要な KB アイテム: installed_sw/Oracle JRockit

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2015/1/20

脆弱性公開日: 2015/1/20

参照情報

CVE: CVE-2014-3566, CVE-2014-6593, CVE-2015-0383, CVE-2015-0410

BID: 70574, 72155, 72165, 72169

CERT: 577193