Oracle Linux 5/6/7:java-1.7.0-openjdk(ELSA-2016-2658)
critical Nessus プラグイン ID 94621
言語:
概要
リモートのOracle Linuxホストに、1つ以上のセキュリティ更新がありません。説明
出典:Red Hatセキュリティアドバイザリ2016:2658:java-1.7.0-openjdkの更新がRed Hat Enterprise Linux 5、Red Hat Enterprise Linux 6、およびRed Hat Enterprise Linux 7用に入手可能になりました。Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度高として評価しています。詳細な重要度評価を示すCVSS(共通脆弱性評価システム)ベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに入手できます。java-1.7.0-openjdkパッケージには、OpenJDK 7 Java Runtime EnvironmentおよびOpenJDK 7 Javaソフトウェア開発キットが含まれています。セキュリティ修正プログラム:* 特定の状況で、OpenJDKのHotspotコンポーネントがSystem.arraycopy()関数の引数を適切にチェックしないことがわかりました。信頼できないJavaアプリケーションまたはアプレットがこの欠陥を利用して、仮想マシンのメモリを破損し、Javaサンドボックスの制限を完全にバイパスする可能性があります。(CVE-2016-5582)* OpenJDKのHotspotコンポーネントが、受信したJDWP(Java Debug Wire Protocol)パケットを適切にチェックしないことがわかりました。攻撃者はこの欠陥を利用して、デバッグされたアプリケーションのJDWPポートに被害者のブラウザーからHTTP要求を送信することに成功した場合、デバッグを有効にして実行中のJavaプログラムにデバッグコマンドを送信する可能性があります。(CVE-2016-5573)* OpenJDKのライブラリコンポーネントが、Jarの整合性検証に使用される一連のアルゴリズムを制限しないことがわかりました。この欠陥により、弱い署名鍵またはハッシュアルゴリズムを使用したJarファイルのコンテンツを攻撃者が変更する可能性があります。(CVE-2016-5542)注意:この更新後、MD2ハッシュアルゴリズムと1024ビット未満のRSAキーは、デフォルトでJarの整合性検証に使用できなくなります。MD5ハッシュアルゴリズムは、今後の更新によりデフォルトで無効化される予定です。新しく導入されたセキュリティプロパティのjdk.jar.disabledAlgorithmsが無効化されたアルゴリズムのセットの制御に使用される可能性があります。* OpenJDKのJMXコンポーネントがクラスローダーを処理する方法に、欠陥が見つかりました。信頼できないJavaアプリケーションまたはアプレットがこの欠陥を利用して、特定のJavaサンドボックスの制限をバイパスする可能性があります。(CVE-2016-5554)* OpenJDKのNetworkingコンポーネントがHTTPプロキシ認証を処理する方法に欠陥が見つかりました。プロキシが認証を求めた場合、JavaアプリケーションはHTTPプロキシへのプレーンテキストネットワーク接続を介してHTTPSサーバー認証の資格情報を公開する可能性があります。(CVE-2016-5597)注意:この更新後、HTTPプロキシ経由でHTTPS接続をトンネリングするときに、基本HTTPプロキシ認証を使用できなくなります。新しく導入されたシステムプロパティjdk.http.auth.proxying.disabledSchemesおよびjdk.http.auth.tunneling.disabledSchemesを使用して、それぞれのHTTPプロキシおよびHTTPS接続をプロキシするときにHTTPプロキシがリクエストできる認証スキームを制御できます。ソリューション
影響を受けるjava-1.7.0-openjdkパッケージを更新してください。関連情報
https://oss.oracle.com/pipermail/el-errata/2016-November/006461.html
https://oss.oracle.com/pipermail/el-errata/2016-November/006462.html
https://oss.oracle.com/pipermail/el-errata/2016-November/006497.html
プラグインの詳細
深刻度: Critical
ID: 94621
ファイル名: oraclelinux_ELSA-2016-2658.nasl
バージョン: 2.9
タイプ: local
エージェント: unix
公開日: 2016/11/8
更新日: 2021/1/14
サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent
リスク情報
VPR
リスクファクター: High
スコア: 8.1
CVSS v2
リスクファクター: High
Base Score: 9.3
Temporal Score: 6.9
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
CVSS v3
リスクファクター: Critical
Base Score: 9.6
Temporal Score: 8.3
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:oracle:linux:java-1.7.0-openjdk, p-cpe:/a:oracle:linux:java-1.7.0-openjdk-accessibility, p-cpe:/a:oracle:linux:java-1.7.0-openjdk-demo, p-cpe:/a:oracle:linux:java-1.7.0-openjdk-devel, p-cpe:/a:oracle:linux:java-1.7.0-openjdk-headless, p-cpe:/a:oracle:linux:java-1.7.0-openjdk-javadoc, p-cpe:/a:oracle:linux:java-1.7.0-openjdk-src, cpe:/o:oracle:linux:5, cpe:/o:oracle:linux:6, cpe:/o:oracle:linux:7
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2016/11/10
脆弱性公開日: 2016/10/25
参照情報
CVE: CVE-2016-10165, CVE-2016-5542, CVE-2016-5554, CVE-2016-5573, CVE-2016-5582, CVE-2016-5597
RHSA: 2016:2658