Oracle GlassFish Serverの複数の脆弱性(2015年7月CPU)

high Nessus プラグイン ID 84810

概要

リモートのWebサーバーは複数の脆弱性の影響を受けます。

説明

リモートホストで実行されているバージョンの Oracle GlassFish Server は、複数の脆弱性の影響を受けます。

- quickder.c ファイルの中の definite_length_decoder() 関数が ASN.1 の長さの DER エンコーディングを適切に形成しないために、セキュリティバイパスの脆弱性が、バンドルされている Network Security Services(NSS)ライブラリに存在します。リモートの攻撃者が、エンコーディングのために長いバイトシーケンスを使用して、この問題を悪用し、任意のデータを検出されずにスマグリングする可能性があります。(CVE-2014-1569)

- Java Server Faces のサブコンポーネントに関連する、詳細不明な欠陥が存在します。リモートの攻撃者がこれを悪用して、システムの整合性に影響を与える可能性があります。(CVE-2015-2623)

- Java Server Faces および Web コンテナのサブコンポーネントに関連する詳細不明の欠陥が存在します。リモートの攻撃者がこれを悪用して、システムの整合性に影響を与える可能性があります。
(CVE-2015-4744)

ソリューション

2015 年 7 月の Oracle Critical Patch Update アドバイザリで言及されているように、Oracle GlassFish Server 2.1.1.26/3.0.1.12/3.1.2.12 またはそれ以降にアップグレードしてください。

関連情報

http://www.nessus.org/u?d18c2a85

プラグインの詳細

深刻度: High

ID: 84810

ファイル名: glassfish_cpu_jul_2015.nasl

バージョン: 1.8

タイプ: remote

ファミリー: Web Servers

公開日: 2015/7/16

更新日: 2018/7/12

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

Base Score: 7.5

Temporal Score: 5.5

ベクトル: AV:N/AC:L/Au:N/C:P/I:P/A:P

現状ベクトル: E:U/RL:OF/RC:C

脆弱性情報

CPE: cpe:/a:oracle:glassfish_server

必要な KB アイテム: www/glassfish

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2015/7/14

脆弱性公開日: 2014/10/6

参照情報

CVE: CVE-2014-1569, CVE-2015-2623, CVE-2015-4744

BID: 71675, 75848, 75859