セキュリティ修正プログラム:

  - OpenJDK：同時アクセスによるnio.Bufferの境界検査のバイパス（ライブラリ、82138920）（CVE-2020-14583）

  - OpenJDK：Affine変換における不完全な境界チェック（2D、8240119）（CVE-2020-14593）

  - OpenJDK：ForkJoinPoolにおけるアクセス制御コンテキストの誤った取り扱い（ライブラリ、8237117）（CVE-2020-14556）

  - OpenJDK：DerInputStreamによって発生する予期しない例外（ライブラリ、8213771）（CVE-2020-14578）

  - OpenJDK：DerValue.equals()によって発生する予期しない例外（ライブラリ、8237736）（CVE-2020-14579）

  - OpenJDK：use-grammar-pool-only機能の不完全なアプリケーションによるXML検証操作（JAXP、8242136）（CVE-2020-14621）

  - OpenJDK：HostnameCheckerによって、X.509証明書の名前が正規化された形式であることが確認されません（JSSE、8237592）（CVE-2020-14577）

＃OpenJDK 8の2020年7月のOpenJDKセキュリティ更新。

完全なリリースノート： https://bitly.com/oj8u262

## 新機能

  - [JDK-8223147]（https://bugs.openjdk.java.net/browse/JDK-8223147): JFRバックポート

## セキュリティ修正

  - JDK-8028431、CVE-2020-14579：DerValue.equals（DerValue）のNullPointerException

  - JDK-8028591、CVE-2020-14578：sun.security.util.DerInputStream.getUnalignedBitString()のNegativeArraySizeException

  - JDK-8230613：ASCII変換の改善

  - JDK-8231800：配列のリストを改善

  - JDK-8232014：DTDサポートを拡大します

  - JDK-8233255：Swingボタンの改善

  - JDK-8234032：基本的なカレンダーサービスを改善

  - JDK-8234042：証明書の工場生産を改善

  - JDK-8234418：CertificateFactoryによる解析の改善

  - JDK-8234836：シリアル化の処理を改善します

  - JDK-8236191：OID処理を強化します

  - JDK-8237117、CVE-2020-14556：ForkJoinPool動作の改善

  - JDK-8237592、CVE-2020-14577：証明書の検証を強化します

  - JDK-8238002、CVE-2020-14581：マトリックス操作の改善

  - JDK-8238804：キー処理プロセスを強化します

  - JDK-8238842：GIFImageReader.initializeStringTableのAIOOBE

  - JDK-8238843：強化されたフォント処理

  - JDK-8238920、CVE-2020-14583：バッファサポートの改善

  - JDK-8238925：WAVファイルの再生を強化します

  - JDK-8240119、CVE-2020-14593：Affine変換の削減

  - JDK-8240482：WAVファイル再生の改善

  - JDK-8241379：JCEKSサポートを更新

  - JDK-8241522：Manifestはjarヘッダーreduxを改善しました

  - JDK-8242136、CVE-2020-14621：XML名前空間処理の改善

## [JDK-8240687]（https://bugs.openjdk.java.net/browse/JDK-8240687):
OpenJDK 8uに統合されたJDK Flight Recorder

OpenJDK 8uにJEP 328のバックポートが含まれるようになりました：OpenJDKの後のバージョンからのFlight Recorder（https://openjdk.java.net/jeps/328）。

JFRは、OpenJDKランタイムおよびJavaアプリケーションのパフォーマンスのトラブルシューティングに役立つデータを収集および提供する低オーバーヘッドのフレームワークです。これは、jdk.jfr名前空間でカスタムイベントを定義する新しいAPIと、フレームワークとやり取りするJMXインターフェイスで構成されています。この記録は、-XX: +FlightRecorderフラグを使用するアプリケーションスタートアップ、またはjcmd経由で開始することもできます。JFRはJEP 167で導入された+XX: EnableTracing機能を交換して、同じ情報をより効率的に取得します。互換性の理由から、+XX: EnableTracingは引き続き受け入れられますが、データは印刷されません。

JFRはデフォルトのUpstreamでビルドされませんが、サポートされているアーキテクチャ（x86_64、AArch64＆PowerPC 64）のFedoraバイナリに含まれています

## [JDK-8205622]（https://bugs.openjdk.java.net/browse/JDK-8205622):
JFR StartFlightRecordingでAppCDSアーカイブを作成した後のJFR起動の失敗

CDSダンプ中に有効化された場合、JFRは無効となり、警告メッセージが表示されます。ユーザーには、次の警告メッセージが表示されます：

OpenJDK 64ビットサーバーVMの警告：CDSダンプ中にJFRが無効化されます

以下のコマンドラインのようにCDSダンプ中にJFRが有効化された場合：

$ java -Xshare：dump -XX：StartFlightRecording=dumponexit=true

## [JDK-8244167]（https://bugs.openjdk.java.net/browse/JDK-8244167):
Comodo Root CA証明書の削除

次の期限切れのComodoルートCA証明書が「cacerts」キーストアから削除されました：+エイリアス名「addtrustclass1ca [jdk]」

識別名：CN=AddTrust Class 1 CA Root、OU=AddTrust TTP Network、O=AddTrust AB, C=SE

## [JDK-8244166]（https://bugs.openjdk.java.net/browse/JDK-8244166):
DocuSign Root CA証明書の削除

次の期限切れのDocuSignルートCA証明書が「cacerts」キーストアから削除されました：+エイリアス名「keynectisrootca [jdk]」

識別名：CN=KEYNECTIS ROOT CA、OU=ROOT、O=KEYNECTIS、C=FR

## [JDK-8240191]（https://bugs.openjdk.java.net/browse/JDK-8240191):
セキュリティモジュールデータベースに外部FIPSモジュールが存在する場合に、NSSでSunPKCS11を初期化できるようにします

FIPSが有効な外部モジュールがセキュリティモジュールデータベース（NSSDB）で構成されている場合に、SunPKCS11セキュリティプロバイダーをNSSで初期化できるようになりました。この変更より前に、SunPKCS11プロバイダーは、次のメッセージを含むRuntimeExceptionをスローしていました：このようなライブラリが非FIPSモードのNSSに対して構成された場合、「FIPSフラグが非内部モジュールに対して設定されます」。

この変更により、システム全体でFIPSポリシーがオンの場合に、JDKがGNU / Linuxオペレーティングシステム上の最近のNSSリリースと適切に連動するようになります。

詳細については、[JDK-8238555]（https://bugs.openjdk.java.net/browse/JDK-8238555）を参照してください。

注意：Tenable Network Securityは、前述の記述ブロックをFedora更新システムのWebサイトから直接抽出しています。
Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

＃OpenJDK 11の2020年7月OpenJDKセキュリティ更新の完全なリリースノート：
https://bitly.com/openjdk1108

## セキュリティ修正

  - JDK-8230613：ASCII変換の改善

  - JDK-8231800：配列のリストを改善

  - JDK-8232014：DTDサポートを拡大します

  - JDK-8233234：Zipネーミングの改善

  - JDK-8233239、CVE-2020-14562：TIFFサポートを強化します

  - JDK-8233255：Swingボタンの改善

  - JDK-8234032：基本的なカレンダーサービスを改善

  - JDK-8234042：証明書の工場生産を改善

  - JDK-8234418：CertificateFactoryによる解析の改善

  - JDK-8234836：シリアル化の処理を改善します

  - JDK-8236191：OID処理を強化します

  - JDK-8236867、CVE-2020-14573：Graalインターフェイスの処理を強化します

  - JDK-8237117、CVE-2020-14556：ForkJoinPool動作の改善

  - JDK-8237592、CVE-2020-14577：証明書の検証を強化します

  - JDK-8238002、CVE-2020-14581：マトリックス操作の改善

  - JDK-8238013：文字列の書き込みを強化します

  - JDK-8238804：キー処理プロセスを強化します

  - JDK-8238842：GIFImageReader.initializeStringTableのAIOOBE

  - JDK-8238843：強化されたフォント処理

  - JDK-8238920、CVE-2020-14583：バッファサポートの改善

  - JDK-8238925：WAVファイルの再生を強化します

  - JDK-8240119、CVE-2020-14593：Affine変換の削減

  - JDK-8240482：WAVファイル再生の改善

  - JDK-8241379：JCEKSサポートを更新

  - JDK-8241522：Manifestはjarヘッダーreduxを改善しました

  - JDK-8242136、CVE-2020-14621：XML名前空間処理の改善

## [JDK-8244167]（https://bugs.openjdk.java.net/browse/JDK-8244167):
Comodo Root CA証明書の削除

次の期限切れのComodoルートCA証明書が「cacerts」キーストアから削除されました：+エイリアス名「addtrustclass1ca [jdk]」

識別名：CN=AddTrust Class 1 CA Root、OU=AddTrust TTP Network、O=AddTrust AB, C=SE

## [JDK-8244166]（https://bugs.openjdk.java.net/browse/JDK-8244166):
DocuSign Root CA証明書の削除

次の期限切れのDocuSignルートCA証明書が「cacerts」キーストアから削除されました：+エイリアス名「keynectisrootca [jdk]」

識別名：CN=KEYNECTIS ROOT CA、OU=ROOT、O=KEYNECTIS、C=FR

## [JDK-8240191]（https://bugs.openjdk.java.net/browse/JDK-8240191):
セキュリティモジュールデータベースに外部FIPSモジュールが存在する場合に、NSSでSunPKCS11を初期化できるようにします

FIPSが有効な外部モジュールがセキュリティモジュールデータベース（NSSDB）で構成されている場合に、SunPKCS11セキュリティプロバイダーをNSSで初期化できるようになりました。この変更より前に、SunPKCS11プロバイダーは、次のメッセージを含むRuntimeExceptionをスローしていました：このようなライブラリが非FIPSモードのNSSに対して構成された場合、「FIPSフラグが非内部モジュールに対して設定されます」。

この変更により、システム全体でFIPSポリシーがオンの場合に、JDKがGNU/Linuxオペレーティングシステム上の最近のNSSリリースと適切に連動するようになります。

詳細については、[JDK-8238555]（https://bugs.openjdk.java.net/browse/JDK-8238555）を参照してください。

## [JDK-8245077]（https://bugs.openjdk.java.net/browse/JDK-8245077):
デフォルトのSSLEngineはサーバーロールで作成する必要があります

JDK 11以降では、ハンドシェイクの際に「javax.net.ssl.SSLEngine」はデフォルトでクライアントモードを使用していました。その結果、一連のデフォルトで有効なプロトコルが、予想とは異なる場合があります。 「SSLEngine」は通常、サーバーモードで使用されます。このJDKリリース以降、「SSLEngine」はデフォルトでサーバーモードになります。「javax.net.ssl.SSLEngine.setUseClientMode(boolean mode)」メソッドを使用してモードを構成することができます。

## [JDK-8242147]（https://bugs.openjdk.java.net/browse/JDK-8242147):
TLS署名方式を構成するための新しいシステムプロパティ

2つの新しいシステムプロパティが追加され、JDKのTLS署名スキームがカスタマイズされました。 「jdk.tls.client.SignatureSchemes」がTLSクライアント側に追加され、「jdk.tls.server.SignatureSchemes」がサーバー側に追加されました。

各システムプロパティには、TLS接続に使用される可能性のある署名スキームを指定する、サポートされている署名スキーム名のカンマ区切りリストが含まれています。

名前は、

* Javaセキュリティ標準アルゴリズム名仕様*の「署名スキーム」セクションで説明されています。

注意：Tenable Network Securityは、前述の記述ブロックをFedora更新システムのWebサイトから直接抽出しています。
Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

リモートの CentOS Linux 7 ホストに、RHSA-2020:2969 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

  - Oracle Java SE の Java SE、Java SE Embedded 製品の脆弱性 (コンポーネント: ライブラリ)。サポートされているバージョンで影響を受けるのは、Java SE: 8u251、11.0.7、14.0.1、Java SE Embedded: 8u251 です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE、Java SE Embedded を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Java SE、Java SE Embedded がアクセス可能な一部のデータが権限なしで更新、挿入または削除され、Java SE、Java SE Embedded がアクセス可能なデータサブセットへの権限のない読み取りアクセスが可能になる可能性があります。注意: クライアントとサーバーへの Java のデプロイメントが対象です。この脆弱性は、サンドボックス化された Java Web Start アプリケーションと Java アプレットを通じて悪用される可能性があります。また、サンドボックス化された Java Web Start アプリケーションやサンドボックス化された Java アプレット (Web サービスなど ) を使用せずに、指定されたコンポーネントの API にデータを提供することでも悪用されます。(CVE-2020-14556)

  - Oracle Java SE の Java SE 製品の脆弱性（コンポーネント：ImageIO）。サポートされているバージョンで影響を受けるのは、Java SE：11.0.7および14.0.1です。容易に悪用可能な脆弱性を使用して、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Java SEの部分的なサービス拒否（部分的DOS）が権限なしで引き起こされる可能性があります。注意:
    この脆弱性は、通常、サンドボックス化された Java Web Start アプリケーションまたはサンドボックス化された Java アプレットを実行しているクライアントで信頼できないコード (インターネットからのコードなど) を読み込んで実行し、セキュリティを Java サンドボックスに依存する Java デプロイメントが対象です。この脆弱性は、通常サーバーで信頼できるコード (管理者がインストールしたコードなど) のみを読み込んで実行する Java デプロイメントを対象としていません。(CVE-2020-14562)

  - Oracle Java SE の Java SE 製品の脆弱性（コンポーネント：ホットスポット）。サポートされているバージョンで影響を受けるのは、Java SE：11.0.7および14.0.1です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、Java SE を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Java SE がアクセスできるデータの一部が、権限なしで更新、挿入、削除される可能性があります。注意: クライアントとサーバーへの Java のデプロイメントが対象です。この脆弱性は、サンドボックス化された Java Web Start アプリケーションと Java アプレットを通じて悪用される可能性があります。また、サンドボックス化された Java Web Start アプリケーションやサンドボックス化された Java アプレット (Web サービスなど ) を使用せずに、指定されたコンポーネントの API にデータを提供することでも悪用されます。(CVE-2020-14573)

  - Oracle Java SE の Java SE、Java SE Embedded 製品の脆弱性 (コンポーネント: JSSE)。サポートされているバージョンで影響を受けるのは、Java SE: 7u261、8u251、11.0.7、14.0.1、Java SE Embedded: 8u251 です。
    悪用が難しい脆弱性ですが、認証されていない攻撃者が TLS を介してネットワークにアクセスし、Java SE、Java SE Embedded を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Java SE、Java SE Embedded がアクセスできるデータのサブセットに対して、権限なしで読み取りアクセスされる可能性があります。注意: クライアントとサーバーへの Java のデプロイメントが対象です。この脆弱性は、サンドボックス化された Java Web Start アプリケーションと Java アプレットを通じて悪用される可能性があります。また、サンドボックス化された Java Web Start アプリケーションやサンドボックス化された Java アプレット (Web サービスなど ) を使用せずに、指定されたコンポーネントの API にデータを提供することでも悪用されます。(CVE-2020-14577)

  - Oracle Java SE の Java SE、Java SE Embedded 製品の脆弱性 (コンポーネント: ライブラリ)。サポートされているバージョンで影響を受けるのは、Java SE: 7u261、8u251、11.0.7、14.0.1、Java SE Embedded: 8u251 です。
    悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE、Java SE Embedded を侵害する可能性があります。攻撃を成功させるには攻撃者以外の人間の関与が必要であり、脆弱性が存在するのは Java SE、Java SE Embedded であるものの、攻撃が他の製品に大きな影響を与える可能性があります。この脆弱性に対する攻撃が成功すると、Java SE および Java SE Embedded の乗っ取りが発生する可能性があります。注意: この脆弱性は、通常、サンドボックス化された Java Web Start アプリケーションまたはサンドボックス化された Java アプレットを実行しているクライアントで信頼できないコード (インターネットからのコードなど) を読み込んで実行し、セキュリティを Java サンドボックスに依存する Java デプロイメントが対象です。この脆弱性は、通常サーバーで信頼できるコード (管理者がインストールしたコードなど) のみを読み込んで実行する Java デプロイメントを対象としていません。(CVE-2020-14583)

  - Oracle Java SE の Java SE、Java SE Embedded 製品の脆弱性 (コンポーネント: 2D)。サポートされているバージョンで影響を受けるのは、Java SE: 7u261、8u251、11.0.7、14.0.1、Java SE Embedded: 8u251 です。容易に悪用可能な脆弱性を利用して、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE や Java SE Embedded を侵害する可能性があります。攻撃を成功させるには攻撃者以外の人間の関与が必要であり、脆弱性が存在するのは Java SE、Java SE Embedded であるものの、攻撃が他の製品に大きな影響を与える可能性があります。この脆弱性に対する攻撃が成功すると、重要なデータや Java SE、Java SE Embedded がアクセスできるすべてのデータが権限なしで作成、削除、変更される可能性があります。注意:
    この脆弱性は、通常、サンドボックス化された Java Web Start アプリケーションまたはサンドボックス化された Java アプレットを実行しているクライアントで信頼できないコード (インターネットからのコードなど) を読み込んで実行し、セキュリティを Java サンドボックスに依存する Java デプロイメントが対象です。この脆弱性は、通常サーバーで信頼できるコード (管理者がインストールしたコードなど) のみを読み込んで実行する Java デプロイメントを対象としていません。(CVE-2020-14593)

  - Java SE、Oracle Java SE の Java SE Embedded 製品の脆弱性 (コンポーネント: JAXP)。サポートされているバージョンで影響を受けるのは、Java SE: 7u261、8u251、11.0.7、14.0.1、Java SE Embedded: 8u251 です。容易に悪用可能な脆弱性を利用して、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE や Java SE Embedded を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Java SE、Java SE Embedded がアクセスできるデータの一部が、権限なしで更新、挿入、削除される可能性があります。注意: この脆弱性は、信頼できない Java Web Start アプリケーションや信頼できない Java アプレット (Web サービスなど) を使用しなくても、特定のコンポーネントの API にデータを提供するだけで悪用される可能性があります。
    (CVE-2020-14621)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの Redhat Enterprise Linux 7 ホストにインストールされているパッケージは、RHSA-2020: 2968アドバイザリに記載されている複数の脆弱性の影響を受けます。

  - OpenJDK：ForkJoinPoolにおけるアクセス制御コンテキストの誤った取り扱い（ライブラリ、8237117）（CVE-2020-14556）

  - OpenJDK：HostnameCheckerによって、X.509証明書の名前が正規化された形式であることが確認されません（JSSE、8237592）（CVE-2020-14577）

  - OpenJDK：DerInputStreamによって発生する予期しない例外（ライブラリ、8213771）（CVE-2020-14578）

  - OpenJDK：DerValue.equals()によって発生する予期しない例外（ライブラリ、8237736）（CVE-2020-14579）

  - OpenJDK：同時アクセスによるnio.Bufferの境界検査のバイパス（ライブラリ、82138920）（CVE-2020-14583）

  - OpenJDK：Affine変換における不完全な境界チェック（2D、8240119）（CVE-2020-14593）

  - OpenJDK：use-grammar-pool-only機能の不完全なアプリケーションによるXML検証操作（JAXP、8242136）（CVE-2020-14621）

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

java-1_8_0-ibm用のこの更新プログラムでは、以下の問題が修正されています：

Java 8.0 Service Refresh 6 Fix Pack 15に更新してください [bsc#1175259、bsc#1174157] CVE-2020-14577 CVE-2020-14578 CVE-2020-14579 CVE-2020-14581 CVE-2020-14556 CVE-2020-14621 CVE-2020-14593 CVE-2020-14583 CVE-2019-17639

  - クラスライブラリ：

  - JAVA.UTIL.ZIP.DEFLATER操作がJAVA.LANG.INTERNALERRORをスローします

  - JAVA 8デコーダーオブジェクトが大量のJAVAヒープを消費します

  - JCLの翻訳メッセージの更新

  - タイムゾーン情報をTZDATA2020Aに更新します

  - Java仮想マシン：

  - IBM JAVAはSIGABRTに対してデフォルトでハンドラーを登録します

  - TRACECONTEXTオブジェクトによって大きなメモリフットプリントが保持されます

  - JITコンパイラ：

  - デバッグモードでのインライン同期メソッドからのOSR後のインタプリターのクラッシュ

  - 断続的なアサーションの失敗が報告されました

  - AOTロード中のRESOLVECLASSREF()でのクラッシュ

  - 以下でのクラスのアンロード中のJITのクラッシュ：J9METHOD_HT: : ONCLASSUNLOADING()

  - メソッドをコンパイルする際のセグメンテーションの失敗

  - IBM Zプラットフォームの高レベルの並列アプリケーションで予期しないCLASSCASTEXCEPTIONがスローされます

  - セキュリティ：

  - FILE.ENCODINGプロパティが非デフォルト値に設定された場合にCERTIFICATEEXCEPTIONが発生します

  - IBMJCEおよびIBMJCEPLUSプロバイダーに変更します

  - セキュリティマネージャーが有効で、デフォルト権限を持ち、JAVA.POLICYファイルで指定されている場合にIBMJCEPLUSが失敗します

  - 特定のインスタンスにおいて、IBMJCEPLUSプロバイダーがKEYFACTORYクラスからの例外をスローします

注意：Tenable Network Securityは、前述の記述ブロックをSUSEセキュリティアドバイザリから直接抽出しています。Tenableでは、そこに新しい問題を追加することはせずに、できる限り自動的に整理と書式設定をするようにしています。

リモートホストにインストールされているテスト済み製品のバージョンは、テスト済みバージョンより前です。したがって、ALAS-2020-1434のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - Oracle Java SEのJava SE、Java SE Embedded製品の脆弱性（コンポーネント: ライブラリ）。サポートされているバージョンで影響を受けるのは、Java SE: 8u251、11.0.7および14.0.1、Java SE Embedded: 8u251です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE、Java SE Embeddedを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Java SE、Java SE Embeddedがアクセス可能な一部のデータが権限なしで更新、挿入または削除され、Java SE、Java SE Embeddedがアクセス可能なデータサブセットへの権限のない読み取りアクセスが可能になる可能性があります。注：クライアントとサーバーへのJavaのデプロイメントが対象です。この脆弱性は、サンドボックス化されたJava Web StartアプリケーションとJavaアプレットを通じて悪用される可能性があります。また、サンドボックス化されたJava Web Startアプリケーションやサンドボックス化されたJavaアプレットを、たとえばWebサービス経由で使用せずに、指定されたコンポーネントのAPIにデータを提供することでも悪用される可能性があります。CVSS 3.1ベーススコア4.8（機密性と整合性への影響）CVSS Vector：
    （CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N）。（CVE-2020-14556）

  - Oracle Java SEのJava SE、Java SE Embedded製品の脆弱性（コンポーネント: JSSE）。サポートされているバージョンで影響を受けるのは、Java SE: 7u261、8u251、11.0.7および 14.0.1、Java SE Embedded: 8u251です。
    悪用が難しい脆弱性ですが、認証されていない攻撃者がTLSを介してネットワークにアクセスし、Java SE、Java SE Embeddedを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Java SE、Java SE Embeddedaがアクセスできるデータのサブセットに対して、権限なしで読み取りアクセスされる可能性があります。注：クライアントとサーバーへのJavaのデプロイメントが対象です。この脆弱性は、サンドボックス化されたJava Web StartアプリケーションとJavaアプレットを通じて悪用される可能性があります。また、サンドボックス化されたJava Web Startアプリケーションやサンドボックス化されたJavaアプレットを、たとえばWebサービス経由で使用せずに、指定されたコンポーネントのAPIにデータを提供することでも悪用される可能性があります。CVSS 3.1ベーススコア3.7（機密性に影響）CVSS Vector：
    （CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N）。（CVE-2020-14577）

  - Oracle Java SEのJava SE、Java SE Embedded製品の脆弱性（コンポーネント: ライブラリ）。サポートされているバージョンで影響を受けるのは、Java SE: 7u261および8u251、Java SE Embedded: 8u251です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE、Java SE Embeddedを侵害する可能性があります。この脆弱性への攻撃が成功すると、Java SEおよびJava SE Embeddedの部分的なサービス拒否（部分的DOS）が権限なしで引き起こされる可能性があります。注意：クライアントとサーバーへのJavaのデプロイメントが対象です。この脆弱性は、サンドボックス化されたJava Web StartアプリケーションとJavaアプレットを通じて悪用される可能性があります。また、サンドボックス化されたJava Web Startアプリケーションやサンドボックス化されたJavaアプレットを、たとえばWebサービス経由で使用せずに、指定されたコンポーネントのAPIにデータを提供することでも悪用される可能性があります。CVSS 3.1 ベーススコア 3.7（可用性に影響）CVSS Vector：
    （CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L）。（CVE-2020-14578、CVE-2020-14579）

  - Oracle Java SEのJava SE、Java SE Embedded製品の脆弱性（コンポーネント: ライブラリ）。サポートされているバージョンで影響を受けるのは、Java SE: 7u261、8u251、11.0.7および 14.0.1、Java SE Embedded: 8u251です。
    悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE、Java SE Embeddedを侵害する可能性があります。攻撃を成功させるには攻撃者以外の人間の関与が必要であり、脆弱性が存在するのはJava SE、Java SE Embeddedであるものの、攻撃が他の製品に大きな影響を与える可能性があります。この脆弱性に対する攻撃が成功すると、Java SEおよびJava SE Embeddedの乗っ取りが発生する可能性があります。注意：この脆弱性は、通常、サンドボックス化されたJava Web Startアプリケーションまたはサンドボックス化されたJavaアプレットを実行しているクライアントで信頼できないコード（インターネットからのコードなど）を読み込んで実行し、セキュリティをJavaサンドボックスに依存するJavaデプロイメントが対象です。この脆弱性は、通常サーバーで信頼できるコード（管理者がインストールしたコードなど）のみを読み込んで実行するJavaデプロイメントを対象としていません。CVSS 3.1 ベーススコア 8.3（機密性、整合性、可用性の影響）CVSS Vector：（CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H）。（CVE-2020-14583）

  - Oracle Java SEのJava SE、Java SE Embedded製品の脆弱性（コンポーネント: 2D）。サポートされているバージョンで影響を受けるのは、Java SE: 7u261、8u251、11.0.7および 14.0.1、Java SE Embedded: 8u251です。容易に悪用可能な脆弱性を利用して、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SEやJava SE Embeddedを侵害する可能性があります。攻撃を成功させるには攻撃者以外の人間の関与が必要であり、脆弱性が存在するのはJava SE、Java SE Embeddedであるものの、攻撃が他の製品に大きな影響を与える可能性があります。この脆弱性に対する攻撃が成功すると、重要なデータやJava SE、Java SE Embeddedがアクセスできるすべてのデータが権限なしで作成、削除、変更される可能性があります。注意：
    この脆弱性は、通常、サンドボックス化されたJava Web Startアプリケーションまたはサンドボックス化されたJavaアプレットを実行しているクライアントで信頼できないコード（インターネットからのコードなど）を読み込んで実行し、セキュリティをJavaサンドボックスに依存するJavaデプロイメントが対象です。この脆弱性は、通常サーバーで信頼できるコード（管理者がインストールしたコードなど）のみを読み込んで実行するJavaデプロイメントには存在しません。CVSS 3.1ベーススコア7.4（整合性への影響）CVSS Vector：
    （CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:H/A:N）。（CVE-2020-14593）

  - Oracle Java SEのJava SE、Java SE Embedded製品の脆弱性（コンポーネント: JAXP）。サポートされているバージョンで影響を受けるのは、Java SE: 7u261、8u251、11.0.7および 14.0.1、Java SE Embedded: 8u251です。容易に悪用可能な脆弱性を利用して、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SEやJava SE Embeddedを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Java SE、Java SE Embeddedがアクセスできるデータの一部が、権限なしで更新、挿入、削除される可能性があります。注：この脆弱性は、信頼できないJava Web Startアプリケーションや信頼できないJavaアプレットを、たとえばWebサービスを介して使用せずに、指定されたコンポーネントのAPIにデータを提供することでのみ悪用される可能性があります。CVSS 3.1ベーススコア5.3（整合性への影響）CVSS Vector：（CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N）。
    （CVE-2020-14621）

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートのCentOS Linux 8ホストにインストールされているパッケージは、CESA-2020: 2972のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - OpenJDK：ForkJoinPoolにおけるアクセス制御コンテキストの誤った取り扱い（ライブラリ、8237117）（CVE-2020-14556）

  - OpenJDK：HostnameCheckerによって、X.509証明書の名前が正規化された形式であることが確認されません（JSSE、8237592）（CVE-2020-14577）

  - OpenJDK：DerInputStreamによって発生する予期しない例外（ライブラリ、8213771）（CVE-2020-14578）

  - OpenJDK：DerValue.equals()によって発生する予期しない例外（ライブラリ、8237736）（CVE-2020-14579）

  - OpenJDK：同時アクセスによるnio.Bufferの境界検査のバイパス（ライブラリ、82138920）（CVE-2020-14583）

  - OpenJDK：Affine変換における不完全な境界チェック（2D、8240119）（CVE-2020-14593）

  - OpenJDK：use-grammar-pool-only機能の不完全なアプリケーションによるXML検証操作（JAXP、8242136）（CVE-2020-14621）

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートホストにインストールされている java-11-amazon-corretto のバージョンは、11.0.8+10-1 より前です。したがって、ALAS2-2020-1464 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

    Oracle Java SE の Java SE、Java SE Embedded 製品の脆弱性 (コンポーネント: ライブラリ)。サポートされているバージョンで影響を受けるのは、Java SE: 8u251、11.0.7、14.0.1、Java SE Embedded: 8u251 です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE、Java SE Embedded を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Java SE、Java SE Embedded がアクセス可能な一部のデータが権限なしで更新、挿入または削除され、Java SE、Java SE Embedded がアクセス可能なデータサブセットへの権限のない読み取りアクセスが可能になる可能性があります。注意: クライアントとサーバーへの Java のデプロイメントが対象です。この脆弱性は、サンドボックス化された Java Web Start アプリケーションと Java アプレットを通じて悪用される可能性があります。また、サンドボックス化されたJava Web Startアプリケーションやサンドボックス化されたJavaアプレットを、たとえばWebサービス経由で使用せずに、指定されたコンポーネントのAPIにデータを提供することでも悪用される可能性があります。CVSS 3.1ベーススコア4.8 (機密性と整合性への影響) CVSS Vector:
    (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N)。(CVE-2020-14556)

    Oracle Java SEのJava SE製品の脆弱性コンポーネントImageIO。サポートされているバージョンで影響を受けるのは、Java SE：11.0.7および14.0.1です。容易に悪用可能な脆弱性を使用して、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Java SEの部分的なサービス拒否（部分的DOS）が権限なしで引き起こされる可能性があります。注意:
    この脆弱性は、通常、サンドボックス化された Java Web Start アプリケーションまたはサンドボックス化された Java アプレットを実行しているクライアントで信頼できないコード (インターネットからのコードなど) を読み込んで実行し、セキュリティを Java サンドボックスに依存する Java デプロイメントが対象です。この脆弱性は、通常サーバーで信頼できるコード (管理者がインストールしたコードなど ) のみを読み込んで実行する Java デプロイメントを対象としていません。CVSS 3.1ベーススコア5.3 (可用性に影響)。CVSS Vector:
    (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)。(CVE-2020-14562)

    Oracle Java SEのJava SE製品の脆弱性コンポーネントホットスポット。サポートされているバージョンで影響を受けるのは、Java SE：11.0.7および14.0.1です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、Java SE を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Java SE がアクセスできるデータの一部が、権限なしで更新、挿入、削除される可能性があります。注意: クライアントとサーバーへの Java のデプロイメントが対象です。この脆弱性は、サンドボックス化された Java Web Start アプリケーションと Java アプレットを通じて悪用される可能性があります。また、サンドボックス化された Java Web Start アプリケーションやサンドボックス化された Java アプレットを、たとえば Web サービス経由で使用せずに、指定されたコンポーネントの API にデータを提供することでも悪用される可能性があります。CVSS 3.1基本値3.7 (整合性への影響) CVSS Vector:
    (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N)。(CVE-2020-14573)

    Oracle Java SEのJava SE、Java SE Embedded製品の脆弱性コンポーネントJSSE。サポートされているバージョンで影響を受けるのは、Java SE: 7u261、8u251、11.0.7、14.0.1、Java SE Embedded: 8u251 です。
    悪用が難しい脆弱性ですが、認証されていない攻撃者が TLS を介してネットワークにアクセスし、Java SE、Java SE Embedded を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Java SE、Java SE Embedded がアクセスできるデータのサブセットに対して、権限なしで読み取りアクセスされる可能性があります。注意: クライアントとサーバーへの Java のデプロイメントが対象です。この脆弱性は、サンドボックス化された Java Web Start アプリケーションと Java アプレットを通じて悪用される可能性があります。また、サンドボックス化されたJava Web Startアプリケーションやサンドボックス化されたJavaアプレットを、たとえばWebサービス経由で使用せずに、指定されたコンポーネントのAPIにデータを提供することでも悪用される可能性があります。CVSS 3.1ベーススコア3.7 (機密性に影響) CVSS Vector:
    (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N)。(CVE-2020-14577)

    Oracle Java SEのJava SE、Java SE Embedded製品の脆弱性（コンポーネント：2D）。サポートされているバージョンで影響を受けるのは、Java SE: 8u251、11.0.7、14.0.1、Java SE Embedded: 8u251 です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE、Java SE Embedded を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Java SE、Java SE Embedded がアクセスできるデータのサブセットに対して、権限なしで読み取りアクセスされる可能性があります。注意: クライアントとサーバーへの Java のデプロイメントが対象です。この脆弱性は、サンドボックス化された Java Web Start アプリケーションと Java アプレットを通じて悪用される可能性があります。また、サンドボックス化されたJava Web Startアプリケーションやサンドボックス化されたJavaアプレットを、たとえばWebサービス経由で使用せずに、指定されたコンポーネントのAPIにデータを提供することでも悪用される可能性があります。CVSS 3.1ベーススコア3.7 (機密性に影響) CVSS Vector:
    (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N)。(CVE-2020-14581)

    Oracle Java SE の Java SE、Java SE Embedded 製品の脆弱性 (コンポーネント: ライブラリ)。サポートされているバージョンで影響を受けるのは、Java SE: 7u261、8u251、11.0.7、14.0.1、Java SE Embedded: 8u251 です。
    悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE、Java SE Embedded を侵害する可能性があります。攻撃を成功させるには攻撃者以外の人間の関与が必要であり、脆弱性が存在するのは Java SE、Java SE Embedded であるものの、攻撃が他の製品に大きな影響を与える可能性があります。この脆弱性に対する攻撃が成功すると、Java SE および Java SE Embedded の乗っ取りが発生する可能性があります。注意：この脆弱性は、通常、サンドボックス化されたJava Web Startアプリケーションまたはサンドボックス化されたJavaアプレットを実行しているクライアントで信頼できないコード（インターネットからのコードなど）を読み込んで実行し、セキュリティをJavaサンドボックスに依存するJavaデプロイメントが対象です。この脆弱性は、通常サーバーで信頼できるコード (管理者がインストールしたコードなど) のみを読み込んで実行する Java デプロイメントを対象としていません。CVSS 3.1 ベーススコア 8.3 (機密性、整合性、可用性の影響) CVSS Vector: (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H)。(CVE-2020-14583)

    Oracle Java SEのJava SE、Java SE Embedded製品の脆弱性（コンポーネント：2D）。サポートされているバージョンで影響を受けるのは、Java SE: 7u261、8u251、11.0.7、14.0.1、Java SE Embedded: 8u251 です。容易に悪用可能な脆弱性を利用して、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE や Java SE Embedded を侵害する可能性があります。攻撃を成功させるには攻撃者以外の人間の関与が必要であり、脆弱性が存在するのは Java SE、Java SE Embedded であるものの、攻撃が他の製品に大きな影響を与える可能性があります。この脆弱性に対する攻撃が成功すると、重要なデータや Java SE、Java SE Embedded がアクセスできるすべてのデータが権限なしで作成、削除、変更される可能性があります。注意:
    この脆弱性は、通常、サンドボックス化された Java Web Start アプリケーションまたはサンドボックス化された Java アプレットを実行しているクライアントで信頼できないコード (インターネットからのコードなど) を読み込んで実行し、セキュリティを Java サンドボックスに依存する Java デプロイメントが対象です。この脆弱性は、通常サーバーで信頼できるコード (管理者がインストールしたコードなど) のみを読み込んで実行するJavaデプロイメントを対象としていません。CVSS 3.1ベーススコア7.4 (整合性への影響) CVSS Vector:
    (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:H/A:N)。(CVE-2020-14593)

    Java SE、Oracle Java SEのJava SE Embedded製品の脆弱性（コンポーネント：JAXP）。サポートされているバージョンで影響を受けるのは、Java SE: 7u261、8u251、11.0.7、14.0.1、Java SE Embedded: 8u251 です。容易に悪用可能な脆弱性を利用して、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE や Java SE Embedded を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Java SE、Java SE Embedded がアクセスできるデータの一部が、権限なしで更新、挿入、削除される可能性があります。注意: この脆弱性は、信頼できない Java Web Start アプリケーションや信頼できない Java アプレット (Web サービスなど) を使用しなくても、特定のコンポーネントの API にデータを提供するだけで悪用される可能性があります。CVSS 3.1ベーススコア5.3 (整合性への影響) CVSS ベクトル: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)
    (CVE-2020-14621)

Tenable は、前述の記述ブロックをテスト済み製品のセキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
138827	Scientific Linux セキュリティ更新: SL6.x i386/x86_64のjava-1.8.0-openjdk（20200716）	Nessus	Scientific Linux Local Security Checks	2020/7/22	2024/2/29	high
138868	Fedora 32：1: java-1.8.0-openjdk（2020-e418151dc3）	Nessus	Fedora Local Security Checks	2020/7/23	2024/2/29	high
139104	Fedora 31：1: java-11-openjdk（2020-93cc9c3ef2）	Nessus	Fedora Local Security Checks	2020/7/30	2024/2/27	high
139423	CentOS 7 : java-11-openjdk (RHSA-2020:2969)	Nessus	CentOS Local Security Checks	2020/8/7	2024/10/9	high
139455	RHEL 7: java-1.8.0-openjdk（RHSA-2020: 2968)	Nessus	Red Hat Local Security Checks	2020/8/10	2024/11/7	high
140257	SUSE SLES12セキュリティ更新プログラム：java-1_8_0-ibm（SUSE-SU-2020:2461-1）	Nessus	SuSE Local Security Checks	2020/9/4	2024/11/29	medium
140611	Amazon Linux AMI：java-1.8.0-openjdk（ALAS-2020-1434）	Nessus	Amazon Linux Local Security Checks	2020/9/16	2024/12/11	high
145916	CentOS 8：java-1.8.0-openjdk（CESA-2020: 2972）	Nessus	CentOS Local Security Checks	2021/2/1	2022/5/10	high
143318	openSUSEセキュリティ更新プログラム：java-1_8_0-openjdk（openSUSE-2020-2048）	Nessus	SuSE Local Security Checks	2020/11/30	2024/2/7	high
138630	Amazon Linux 2 java-11-amazon-corretto, --advisory ALAS2-2020-1464ALAS-2020-1464]	Nessus	Amazon Linux Local Security Checks	2020/7/20	2025/10/24	high

検出

プラグインの検索

high

high

high

high

high

medium

high

high

high

high