検出

Oracle Java SE Multiple Vulnerabilities (July 2016 CPU)

critical Nessus プラグイン ID 92516

Language:

概要

リモートのWindowsホストに、複数の脆弱性の影響を受けるプログラミングプラットフォームが含まれています。

説明

The version of Oracle (formerly Sun) Java SE or Java for Business installed on the remote host is prior to 8 Update 101, 7 Update 111, or 6 Update 121. したがって、以下の複数の脆弱性による影響を受けます。

 - An unspecified flaw exists in the CORBA subcomponent that allows an unauthenticated, remote attacker to impact integrity. (CVE-2016-3458)

 - An unspecified flaw exists in the Networking subcomponent that allows a local attacker to impact integrity. (CVE-2016-3485)

 - An unspecified flaw exists in the JavaFX subcomponent that allows an unauthenticated, remote attacker to cause a denial of service condition. (CVE-2016-3498)

 - An unspecified flaw exists in the JAXP subcomponent that allows an unauthenticated, remote attacker to cause a denial of service condition. (CVE-2016-3500)

 - An unspecified flaw exists in the Install subcomponent that allows a local attacker to gain elevated privileges. (CVE-2016-3503)

 - An unspecified flaw exists in the JAXP subcomponent that allows an unauthenticated, remote attacker to cause a denial of service condition. (CVE-2016-3508)

 - An unspecified flaw exists in the Deployment subcomponent that allows a local attacker to gain elevated privileges. (CVE-2016-3511)

 - Hotspot サブコンポーネントに詳細不明な欠陥が存在するため、認証されていないリモートの攻撃者は潜在的な機密情報を漏洩させることが可能です。
 (CVE-2016-3550)

 - An unspecified flaw exists in the Install subcomponent that allows a local attacker to gain elevated privileges. (CVE-2016-3552)

 - A flaw exists in the Hotspot subcomponent due to improper access to the MethodHandle: : invokeBasic() function. 認証されていないリモート攻撃者がこの脆弱性を悪用し、任意のコードを実行する可能性があります。 (CVE-2016-3587)

 - A flaw exists in the Libraries subcomponent within the MethodHandles: : dropArguments() function that allows an unauthenticated, remote attacker to execute arbitrary code. (CVE-2016-3598)

 - A flaw exists in the Hotspot subcomponent within the ClassVerifier: : ends_in_athrow() function when handling bytecode verification. 認証されていないリモート攻撃者がこの脆弱性を悪用し、任意のコードを実行する可能性があります。
 (CVE-2016-3606)

 - An unspecified flaw exists in the Libraries subcomponent that allows an unauthenticated, remote attacker to execute arbitrary code. (CVE-2016-3610)

ソリューション

Oracle JDK/JRE 8 Update 101/7 Update 111/6 Update 121 以降にアップグレードしてください。必要に応じて、影響を受けるバージョンを削除してください。

注意:JDK/JRE 6 Update 95以降を入手するには、Oracleの延長サポート契約が必要です。

参考資料

http://www.nessus.org/u?e71b6836

http://www.nessus.org/u?92867054

http://www.nessus.org/u?6adbf356

http://www.nessus.org/u?81636e81

プラグインの詳細

深刻度: Critical

ID: 92516

ファイル名: oracle_java_cpu_jul_2016.nasl

バージョン: 1.12

タイプ: local

エージェント: windows

ファミリー: Windows

公開日: 2016/7/22

更新日: 2022/4/11

設定: 徹底したチェックを有効にする

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.3

CVSS v2

リスクファクター: High

基本値: 9.3

現状値: 6.9

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2016-3610

CVSS v3

リスクファクター: Critical

基本値: 9.6

現状値: 8.3

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:oracle:jre, cpe:/a:oracle:jdk

必要な KB アイテム: SMB/Java/JRE/Installed

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2016/7/18

脆弱性公開日: 2016/4/23

参照情報

CVE: CVE-2016-3458, CVE-2016-3485, CVE-2016-3498, CVE-2016-3500, CVE-2016-3503, CVE-2016-3508, CVE-2016-3511, CVE-2016-3550, CVE-2016-3552, CVE-2016-3587, CVE-2016-3598, CVE-2016-3606, CVE-2016-3610

BID: 91904, 91912, 91918, 91930, 91945, 91951, 91956, 91962, 91972, 91990, 91996, 92000, 92006