リモートホストにインストールされているテスト済み製品のバージョンは、テスト済みバージョンより前です。したがって、ALAS-2020-1434のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - Oracle Java SEのJava SE、Java SE Embedded製品の脆弱性（コンポーネント: ライブラリ）。サポートされているバージョンで影響を受けるのは、Java SE: 8u251、11.0.7および14.0.1、Java SE Embedded: 8u251です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE、Java SE Embeddedを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Java SE、Java SE Embeddedがアクセス可能な一部のデータが権限なしで更新、挿入または削除され、Java SE、Java SE Embeddedがアクセス可能なデータサブセットへの権限のない読み取りアクセスが可能になる可能性があります。注：クライアントとサーバーへのJavaのデプロイメントが対象です。この脆弱性は、サンドボックス化されたJava Web StartアプリケーションとJavaアプレットを通じて悪用される可能性があります。また、サンドボックス化されたJava Web Startアプリケーションやサンドボックス化されたJavaアプレットを、たとえばWebサービス経由で使用せずに、指定されたコンポーネントのAPIにデータを提供することでも悪用される可能性があります。CVSS 3.1ベーススコア4.8（機密性と整合性への影響）CVSS Vector：
    （CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N）。（CVE-2020-14556）

  - Oracle Java SEのJava SE、Java SE Embedded製品の脆弱性（コンポーネント: JSSE）。サポートされているバージョンで影響を受けるのは、Java SE: 7u261、8u251、11.0.7および 14.0.1、Java SE Embedded: 8u251です。
    悪用が難しい脆弱性ですが、認証されていない攻撃者がTLSを介してネットワークにアクセスし、Java SE、Java SE Embeddedを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Java SE、Java SE Embeddedaがアクセスできるデータのサブセットに対して、権限なしで読み取りアクセスされる可能性があります。注：クライアントとサーバーへのJavaのデプロイメントが対象です。この脆弱性は、サンドボックス化されたJava Web StartアプリケーションとJavaアプレットを通じて悪用される可能性があります。また、サンドボックス化されたJava Web Startアプリケーションやサンドボックス化されたJavaアプレットを、たとえばWebサービス経由で使用せずに、指定されたコンポーネントのAPIにデータを提供することでも悪用される可能性があります。CVSS 3.1ベーススコア3.7（機密性に影響）CVSS Vector：
    （CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N）。（CVE-2020-14577）

  - Oracle Java SEのJava SE、Java SE Embedded製品の脆弱性（コンポーネント: ライブラリ）。サポートされているバージョンで影響を受けるのは、Java SE: 7u261および8u251、Java SE Embedded: 8u251です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE、Java SE Embeddedを侵害する可能性があります。この脆弱性への攻撃が成功すると、Java SEおよびJava SE Embeddedの部分的なサービス拒否（部分的DOS）が権限なしで引き起こされる可能性があります。注意：クライアントとサーバーへのJavaのデプロイメントが対象です。この脆弱性は、サンドボックス化されたJava Web StartアプリケーションとJavaアプレットを通じて悪用される可能性があります。また、サンドボックス化されたJava Web Startアプリケーションやサンドボックス化されたJavaアプレットを、たとえばWebサービス経由で使用せずに、指定されたコンポーネントのAPIにデータを提供することでも悪用される可能性があります。CVSS 3.1 ベーススコア 3.7（可用性に影響）CVSS Vector：
    （CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L）。（CVE-2020-14578、CVE-2020-14579）

  - Oracle Java SEのJava SE、Java SE Embedded製品の脆弱性（コンポーネント: ライブラリ）。サポートされているバージョンで影響を受けるのは、Java SE: 7u261、8u251、11.0.7および 14.0.1、Java SE Embedded: 8u251です。
    悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE、Java SE Embeddedを侵害する可能性があります。攻撃を成功させるには攻撃者以外の人間の関与が必要であり、脆弱性が存在するのはJava SE、Java SE Embeddedであるものの、攻撃が他の製品に大きな影響を与える可能性があります。この脆弱性に対する攻撃が成功すると、Java SEおよびJava SE Embeddedの乗っ取りが発生する可能性があります。注意：この脆弱性は、通常、サンドボックス化されたJava Web Startアプリケーションまたはサンドボックス化されたJavaアプレットを実行しているクライアントで信頼できないコード（インターネットからのコードなど）を読み込んで実行し、セキュリティをJavaサンドボックスに依存するJavaデプロイメントが対象です。この脆弱性は、通常サーバーで信頼できるコード（管理者がインストールしたコードなど）のみを読み込んで実行するJavaデプロイメントを対象としていません。CVSS 3.1 ベーススコア 8.3（機密性、整合性、可用性の影響）CVSS Vector：（CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H）。（CVE-2020-14583）

  - Oracle Java SEのJava SE、Java SE Embedded製品の脆弱性（コンポーネント: 2D）。サポートされているバージョンで影響を受けるのは、Java SE: 7u261、8u251、11.0.7および 14.0.1、Java SE Embedded: 8u251です。容易に悪用可能な脆弱性を利用して、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SEやJava SE Embeddedを侵害する可能性があります。攻撃を成功させるには攻撃者以外の人間の関与が必要であり、脆弱性が存在するのはJava SE、Java SE Embeddedであるものの、攻撃が他の製品に大きな影響を与える可能性があります。この脆弱性に対する攻撃が成功すると、重要なデータやJava SE、Java SE Embeddedがアクセスできるすべてのデータが権限なしで作成、削除、変更される可能性があります。注意：
    この脆弱性は、通常、サンドボックス化されたJava Web Startアプリケーションまたはサンドボックス化されたJavaアプレットを実行しているクライアントで信頼できないコード（インターネットからのコードなど）を読み込んで実行し、セキュリティをJavaサンドボックスに依存するJavaデプロイメントが対象です。この脆弱性は、通常サーバーで信頼できるコード（管理者がインストールしたコードなど）のみを読み込んで実行するJavaデプロイメントには存在しません。CVSS 3.1ベーススコア7.4（整合性への影響）CVSS Vector：
    （CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:H/A:N）。（CVE-2020-14593）

  - Oracle Java SEのJava SE、Java SE Embedded製品の脆弱性（コンポーネント: JAXP）。サポートされているバージョンで影響を受けるのは、Java SE: 7u261、8u251、11.0.7および 14.0.1、Java SE Embedded: 8u251です。容易に悪用可能な脆弱性を利用して、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SEやJava SE Embeddedを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Java SE、Java SE Embeddedがアクセスできるデータの一部が、権限なしで更新、挿入、削除される可能性があります。注：この脆弱性は、信頼できないJava Web Startアプリケーションや信頼できないJavaアプレットを、たとえばWebサービスを介して使用せずに、指定されたコンポーネントのAPIにデータを提供することでのみ悪用される可能性があります。CVSS 3.1ベーススコア5.3（整合性への影響）CVSS Vector：（CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N）。
    （CVE-2020-14621）

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

セキュリティ修正プログラム:

  - OpenJDK：同時アクセスによるnio.Bufferの境界検査のバイパス（ライブラリ、82138920）（CVE-2020-14583）

  - OpenJDK：Affine変換における不完全な境界チェック（2D、8240119）（CVE-2020-14593）

  - OpenJDK：ForkJoinPoolにおけるアクセス制御コンテキストの誤った取り扱い（ライブラリ、8237117）（CVE-2020-14556）

  - OpenJDK：DerInputStreamによって発生する予期しない例外（ライブラリ、8213771）（CVE-2020-14578）

  - OpenJDK：DerValue.equals()によって発生する予期しない例外（ライブラリ、8237736）（CVE-2020-14579）

  - OpenJDK：use-grammar-pool-only機能の不完全なアプリケーションによるXML検証操作（JAXP、8242136）（CVE-2020-14621）

  - OpenJDK：HostnameCheckerによって、X.509証明書の名前が正規化された形式であることが確認されません（JSSE、8237592）（CVE-2020-14577）

リモートホストにインストールされているOpenJDKは、7 <= 7u261 / 8 <= 8u252 / 11.0.0 <= 11.0.7 / 13.0.0 <= 13.0.3 / 14.0.0 <= 14.0.1より前です。したがって、2020年7月14日のアドバイザリに記載されている複数の脆弱性の影響を受けます。

注意：Java CVEには常にOpenJDKバージョンが含まれているとは限りませんが、言及されているOpenJDKセキュリティアドバイザリのパッチバージョンを使用してTenableによって個別に確認されます。

  - Oracle Java SEのJava SE、Java SE Embedded製品の脆弱性（コンポーネント：ライブラリ）。サポートされているバージョンで影響を受けるのは、Java SE: 7u261、8u251、11.0.7および 14.0.1、Java SE Embedded：8u251。
    悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE、Java SE Embeddedを侵害する可能性があります。攻撃を成功させるには攻撃者以外の人間の関与が必要であり、脆弱性が存在するのはJava SE、Java SE Embeddedであるものの、攻撃が他の製品に大きな影響を与える可能性があります。この脆弱性に対する攻撃が成功すると、Java SEおよびJava SE Embeddedの乗っ取りが発生する可能性があります。注意：この脆弱性は、通常、サンドボックス化されたJava Web Startアプリケーションまたはサンドボックス化されたJavaアプレットを実行しているクライアントで信頼できないコード（インターネットからのコードなど）を読み込んで実行し、セキュリティをJavaサンドボックスに依存するJavaデプロイメントが対象です。この脆弱性は、通常サーバーで信頼できるコード（管理者がインストールしたコードなど）のみを読み込んで実行するJavaデプロイメントを対象としていません。CVSS 3.1 ベーススコア 8.3（機密性、整合性、可用性の影響）CVSS Vector: （CVSS：3.1/AV：N/AC：H/PR：N/UI：R/S：C/C：H/I：H/A：H）。（CVE-2020-14583）

  - Oracle Java SEのJava SE、Java SE Embedded製品の脆弱性（コンポーネント：2D）。サポートされているバージョンで影響を受けるのは、Java SE：7u261、8u251、11.0.7および 14.0.1、Java SE Embedded：8u251。容易に悪用可能な脆弱性を利用して、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SEやJava SE Embeddedを侵害する可能性があります。攻撃を成功させるには攻撃者以外の人間の関与が必要であり、脆弱性が存在するのはJava SE、Java SE Embeddedであるものの、攻撃が他の製品に大きな影響を与える可能性があります。この脆弱性に対する攻撃が成功すると、重要なデータやJava SE、Java SE Embeddedがアクセスできるすべてのデータが権限なしで作成、削除、変更される可能性があります。注意：
    この脆弱性は、通常、サンドボックス化されたJava Web Startアプリケーションまたはサンドボックス化されたJavaアプレットを実行しているクライアントで信頼できないコード（インターネットからのコードなど）を読み込んで実行し、セキュリティをJavaサンドボックスに依存するJavaデプロイメントが対象です。この脆弱性は、通常サーバーで信頼できるコード（管理者がインストールしたコードなど）のみを読み込んで実行するJavaデプロイメントには存在しません。CVSS 3.1ベーススコア7.4（整合性への影響）CVSS Vector:
    （CVSS：3.1/AV：N/AC：L/PR：N/UI：R/S：C/C：N/I：H/A：N）。（CVE-2020-14593）

  - Oracle Java SEのJava SE製品の脆弱性（コンポーネント：ImageIO）。サポートされているバージョンで影響を受けるのは、Java SE:11.0.7および14.0.1です。容易に悪用可能な脆弱性を使用して、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SEを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Java SEの部分的なサービス拒否（部分的DOS）が権限なしで引き起こされる可能性があります。注：
    この脆弱性は、通常、サンドボックス化されたJava Web Startアプリケーションまたはサンドボックス化されたJavaアプレットを実行しているクライアントで信頼できないコード（インターネットからのコードなど）を読み込んで実行し、セキュリティをJavaサンドボックスに依存するJavaデプロイメントが対象です。この脆弱性は、通常サーバーで信頼できるコード（管理者がインストールしたコードなど）のみを読み込んで実行するJavaデプロイメントには存在しません。CVSS 3.1ベーススコア5.3（可用性に影響）。CVSS Vector：
    （CVSS：3.1/AV：N/AC：L/PR：N/UI：N/S：U/C：N/I：N/A：L）。（CVE-2020-14562）

  - Oracle Java SEのJava SE、Java SE Embedded製品の脆弱性（コンポーネント：JAXP）。サポートされているバージョンで影響を受けるのは、Java SE: 7u261、8u251、11.0.7および 14.0.1、Java SE Embedded：8u251。容易に悪用可能な脆弱性を利用して、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SEやJava SE Embeddedを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Java SE、Java SE Embeddedがアクセスできるデータの一部が、権限なしで更新、挿入、削除される可能性があります。注：この脆弱性は、信頼できないJava Web Startアプリケーションや信頼できないJavaアプレットを、たとえばWebサービスを介して使用せずに、指定されたコンポーネントのAPIにデータを提供することでのみ悪用される可能性があります。CVSS 3.1ベーススコア5.3（整合性への影響）CVSS Vector: （CVSS：3.1/AV：N/AC：L/PR：N/UI：N/S：U/C：N/I：L/A：N）。
    （CVE-2020-14621）

  - Oracle Java SEのJava SE、Java SE Embedded製品の脆弱性（コンポーネント：ライブラリ）。サポートされているバージョンで影響を受けるのは、Java SE: 8u251、11.0.7および14.0.1、Java SE Embedded: 8u251。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE、Java SE Embeddedを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Java SE、Java SE Embeddedがアクセス可能な一部のデータが権限なしで更新、挿入または削除され、Java SE、Java SE Embeddedがアクセス可能なデータサブセットへの権限のない読み取りアクセスが可能になる可能性があります。注: クライアントとサーバーへのJavaのデプロイメントが対象です。この脆弱性は、サンドボックス化されたJava Web StartアプリケーションとJavaアプレットを通じて悪用される可能性があります。また、サンドボックス化されたJava Web Startアプリケーションやサンドボックス化されたJavaアプレットを、たとえばWebサービス経由で使用せずに、指定されたコンポーネントのAPIにデータを提供することでも悪用される可能性があります。CVSS 3.1ベーススコア4.8（機密性と整合性への影響）CVSS Vector：
    （CVSS：3.1/AV：N/AC：H/PR：N/UI：N/S：U/C：L/I：L/A：N）。（CVE-2020-14556）

  - Oracle Java SEのJava SE製品の脆弱性（コンポーネント：ホットスポット）。サポートされているバージョンで影響を受けるのは、Java SE：11.0.7および14.0.1です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、Java SEを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Java SEがアクセスできるデータの一部が、権限なしで更新、挿入、削除される可能性があります。注：クライアントとサーバーへのJavaのデプロイメントが対象です。この脆弱性は、サンドボックス化されたJava Web StartアプリケーションとJavaアプレットを通じて悪用される可能性があります。また、サンドボックス化されたJava Web Startアプリケーションやサンドボックス化されたJavaアプレットを、たとえばWebサービス経由で使用せずに、指定されたコンポーネントのAPIにデータを提供することでも悪用される可能性があります。CVSS 3.1ベーススコア3.7（整合性への影響）CVSS Vector:
    （CVSS：3.1/AV：N/AC：H/PR：N/UI：N/S：U/C：N/I：L/A：N）。（CVE-2020-14573）

  - Oracle Java SEのJava SE、Java SE Embedded製品の脆弱性（コンポーネント：ライブラリ）。サポートされているバージョンで影響を受けるのは、Java SE: 7u261および8u251、Java SE Embedded: 8u251。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE、Java SE Embeddedを侵害する可能性があります。この脆弱性への攻撃が成功すると、Java SEおよびJava SE Embeddedの部分的なサービス拒否（部分的DOS）が権限なしで引き起こされる可能性があります。注意: クライアントとサーバーへのJavaのデプロイメントが対象です。この脆弱性は、サンドボックス化されたJava Web StartアプリケーションとJavaアプレットを通じて悪用される可能性があります。また、サンドボックス化されたJava Web Startアプリケーションやサンドボックス化されたJavaアプレットを、たとえばWebサービス経由で使用せずに、指定されたコンポーネントのAPIにデータを提供することでも悪用される可能性があります。CVSS 3.1 ベーススコア 3.7（可用性に影響）CVSS Vector：
    （CVSS：3.1/AV：N/AC：H/PR：N/UI：N/S：U/C：N/I：N/A：L）。（CVE-2020-14578、CVE-2020-14579）

  - Oracle Java SEのJava SE、Java SE Embedded製品の脆弱性（コンポーネント：2D）。サポートされているバージョンで影響を受けるのは、Java SE: 8u251、11.0.7および14.0.1、Java SE Embedded: 8u251。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE、Java SE Embeddedを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Java SE、Java SE Embeddedaがアクセスできるデータのサブセットに対して、権限なしで読み取りアクセスされる可能性があります。注: クライアントとサーバーへのJavaのデプロイメントが対象です。この脆弱性は、サンドボックス化されたJava Web StartアプリケーションとJavaアプレットを通じて悪用される可能性があります。また、サンドボックス化されたJava Web Startアプリケーションやサンドボックス化されたJavaアプレットを、たとえばWebサービス経由で使用せずに、指定されたコンポーネントのAPIにデータを提供することでも悪用される可能性があります。CVSS 3.1ベーススコア3.7（機密性に影響）CVSS Vector:
    （CVSS：3.1/AV：N/AC：H/PR：N/UI：N/S：U/C：L/I：N/A：N）。（CVE-2020-14581）

  - Oracle Java SEのJava SE、Java SE Embedded製品の脆弱性（コンポーネント：JSSE）。サポートされているバージョンで影響を受けるのは、Java SE: 7u261、8u251、11.0.7および 14.0.1、Java SE Embedded：8u251。
    悪用が難しい脆弱性ですが、認証されていない攻撃者がTLSを介してネットワークにアクセスし、Java SE、Java SE Embeddedを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Java SE、Java SE Embeddedaがアクセスできるデータのサブセットに対して、権限なしで読み取りアクセスされる可能性があります。注: クライアントとサーバーへのJavaのデプロイメントが対象です。この脆弱性は、サンドボックス化されたJava Web StartアプリケーションとJavaアプレットを通じて悪用される可能性があります。また、サンドボックス化されたJava Web Startアプリケーションやサンドボックス化されたJavaアプレットを、たとえばWebサービス経由で使用せずに、指定されたコンポーネントのAPIにデータを提供することでも悪用される可能性があります。CVSS 3.1ベーススコア3.7（機密性に影響）CVSS Vector:
    （CVSS：3.1/AV：N/AC：H/PR：N/UI：N/S：U/C：L/I：N/A：N）。（CVE-2020-14577）

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートホストにインストールされている Amazon Corretto のバージョンは、11 < 11.0.8.10.1より前です。したがって、corretto-11-2020-Jul-14 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - core-libs/java.util.concurrent (CVE-2020-14556)

  - client-libs/javax.imageio (CVE-2020-14562)

  - hotspot/compiler (CVE-2020-14573)

  - security-libs/javax.net.ssl (CVE-2020-14577)

  - client-libs/2d (CVE-2020-14581, CVE-2020-14593)

  - core-libs/java.io (CVE-2020-14583)

  - xml/jaxp (CVE-2020-14621)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートのCentOS Linux 8ホストにインストールされているパッケージは、CESA-2020: 2972のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - OpenJDK：ForkJoinPoolにおけるアクセス制御コンテキストの誤った取り扱い（ライブラリ、8237117）（CVE-2020-14556）

  - OpenJDK：HostnameCheckerによって、X.509証明書の名前が正規化された形式であることが確認されません（JSSE、8237592）（CVE-2020-14577）

  - OpenJDK：DerInputStreamによって発生する予期しない例外（ライブラリ、8213771）（CVE-2020-14578）

  - OpenJDK：DerValue.equals()によって発生する予期しない例外（ライブラリ、8237736）（CVE-2020-14579）

  - OpenJDK：同時アクセスによるnio.Bufferの境界検査のバイパス（ライブラリ、82138920）（CVE-2020-14583）

  - OpenJDK：Affine変換における不完全な境界チェック（2D、8240119）（CVE-2020-14593）

  - OpenJDK：use-grammar-pool-only機能の不完全なアプリケーションによるXML検証操作（JAXP、8242136）（CVE-2020-14621）

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

Oracle Java SEのJava SE、Java SE Embedded製品の脆弱性（コンポーネント：JAXP）。サポートされているバージョンで影響を受けるのは、Java SE: 7u261、8u251、11.0.7および 14.0.1、Java SE Embedded: 8u251です。容易に悪用可能な脆弱性を利用して、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SEやJava SE Embeddedを侵害する可能性があります。
この脆弱性に対する攻撃が成功すると、Java SE、Java SE Embeddedがアクセスできるデータの一部が、権限なしで更新、挿入、削除される可能性があります。注：この脆弱性は、信頼できないJava Web Startアプリケーションや信頼できないJavaアプレットを、たとえばWebサービスを介して使用せずに、指定されたコンポーネントのAPIにデータを提供することでのみ悪用される可能性があります。CVSS 3.1ベーススコア5.3（整合性への影響）
CVSS Vector：(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N）。
(CVE-2020-14621)

Oracle Java SEのJava SE、Java SE Embedded製品の脆弱性（コンポーネント：JSSE）。サポートされているバージョンで影響を受けるのは、Java SE: 7u261、8u251、11.0.7および 14.0.1、Java SE Embedded: 8u251です。
悪用が難しい脆弱性ですが、認証されていない攻撃者がTLSを介してネットワークにアクセスし、Java SE、Java SE Embeddedを侵害する可能性があります。
この脆弱性に対する攻撃が成功すると、Java SE、Java SE Embeddedaがアクセスできるデータのサブセットに対して、権限なしで読み取りアクセスされる可能性があります。
注：クライアントとサーバーへのJavaのデプロイメントが対象です。この脆弱性は、サンドボックス化されたJava Web StartアプリケーションとJavaアプレットを通じて悪用される可能性があります。また、サンドボックス化されたJava Web Startアプリケーションやサンドボックス化されたJavaアプレットを、たとえばWebサービス経由で使用せずに、指定されたコンポーネントのAPIにデータを提供することでも悪用される可能性があります。CVSS 3.1ベーススコア3.7（機密性に影響）CVSS Vector：(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N) (CVE-2020-14577)

Oracle Java SEのJava SE、Java SE Embedded製品の脆弱性（コンポーネント：2D）。サポートされているバージョンで影響を受けるのは、Java SE:
8u251、11.0.7および14.0.1、Java SE Embedded: 8u251です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE、Java SE Embeddedを侵害する可能性があります。
この脆弱性に対する攻撃が成功すると、Java SE、Java SE Embeddedaがアクセスできるデータのサブセットに対して、権限なしで読み取りアクセスされる可能性があります。
注：クライアントとサーバーへのJavaのデプロイメントが対象です。この脆弱性は、サンドボックス化されたJava Web StartアプリケーションとJavaアプレットを通じて悪用される可能性があります。また、サンドボックス化されたJava Web Startアプリケーションやサンドボックス化されたJavaアプレットを、たとえばWebサービス経由で使用せずに、指定されたコンポーネントのAPIにデータを提供することでも悪用される可能性があります。CVSS 3.1ベーススコア3.7（機密性に影響）CVSS Vector：(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N) (CVE-2020-14581)

Oracle Java SEのJava SE、Java SE Embedded製品の脆弱性（コンポーネント：ライブラリ）。サポートされているバージョンで影響を受けるのは、Java SE: 7u261、8u251、11.0.7および 14.0.1、Java SE Embedded: 8u251です。
悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE、Java SE Embeddedを侵害する可能性があります。攻撃を成功させるには攻撃者以外の人間の関与が必要であり、脆弱性が存在するのはJava SE、Java SE Embeddedであるものの、攻撃が他の製品に大きな影響を与える可能性があります。この脆弱性に対する攻撃が成功すると、Java SEおよびJava SE Embeddedの乗っ取りが発生する可能性があります。注意：この脆弱性は、通常、サンドボックス化されたJava Web Startアプリケーションまたはサンドボックス化されたJavaアプレットを実行しているクライアントで信頼できないコード（インターネットからのコードなど）を読み込んで実行し、セキュリティをJavaサンドボックスに依存するJavaデプロイメントが対象です。この脆弱性は、通常サーバーで信頼できるコード（管理者がインストールしたコードなど）のみを読み込んで実行するJavaデプロイメントを対象としていません。CVSS 3.1 ベーススコア 8.3（機密性、整合性、可用性の影響）CVSS Vector：(CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H) (CVE-2020-14583)

Oracle Java SEのJava SE製品の脆弱性（コンポーネント：
ImageIO）。サポートされているバージョンで影響を受けるのは、Java SE:11.0.7および14.0.1です。容易に悪用可能な脆弱性を使用して、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SEを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Java SEの部分的なサービス拒否（部分的DOS）が権限なしで引き起こされる可能性があります。注：この脆弱性は、通常、サンドボックス化されたJava Web Startアプリケーションまたはサンドボックス化されたJavaアプレットを実行しているクライアントで信頼できないコード（インターネットからのコードなど）を読み込んで実行し、セキュリティをJavaサンドボックスに依存するJavaデプロイメントが対象です。この脆弱性は、通常サーバーで信頼できるコード（管理者がインストールしたコードなど）のみを読み込んで実行するJavaデプロイメントには存在しません。CVSS 3.1ベーススコア5.3（可用性に影響）。CVSS Vector：(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L) (CVE-2020-14562)

Oracle Java SEのJava SE、Java SE Embedded製品の脆弱性（コンポーネント：ライブラリ）。サポートされているバージョンで影響を受けるのは、Java SE: 8u251、11.0.7および14.0.1、Java SE Embedded: 8u251です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE、Java SE Embeddedを侵害する可能性があります。
この脆弱性に対する攻撃が成功すると、Java SE、Java SE Embeddedがアクセス可能な一部のデータが権限なしで更新、挿入または削除され、Java SE、Java SE Embeddedがアクセス可能なデータサブセットへの権限のない読み取りアクセスが可能になる可能性があります。注：クライアントとサーバーへのJavaのデプロイメントが対象です。この脆弱性は、サンドボックス化されたJava Web StartアプリケーションとJavaアプレットを通じて悪用される可能性があります。また、サンドボックス化されたJava Web Startアプリケーションやサンドボックス化されたJavaアプレットを、たとえばWebサービス経由で使用せずに、指定されたコンポーネントのAPIにデータを提供することでも悪用される可能性があります。CVSS 3.1ベーススコア4.8（機密性と整合性への影響）CVSS Vector：
(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N) (CVE-2020-14556)

Oracle Java SEのJava SE、Java SE Embedded製品の脆弱性（コンポーネント：2D）。サポートされているバージョンで影響を受けるのは、Java SE:
7u261、8u251、11.0.7および 14.0.1、Java SE Embedded: 8u251です。容易に悪用可能な脆弱性を利用して、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SEやJava SE Embeddedを侵害する可能性があります。
攻撃を成功させるには攻撃者以外の人間の関与が必要であり、脆弱性が存在するのはJava SE、Java SE Embeddedであるものの、攻撃が他の製品に大きな影響を与える可能性があります。
この脆弱性に対する攻撃が成功すると、重要なデータやJava SE、Java SE Embeddedがアクセスできるすべてのデータが権限なしで作成、削除、変更される可能性があります。注意：この脆弱性は、通常、サンドボックス化されたJava Web Startアプリケーションまたはサンドボックス化されたJavaアプレットを実行しているクライアントで信頼できないコード（インターネットからのコードなど）を読み込んで実行し、セキュリティをJavaサンドボックスに依存するJavaデプロイメントが対象です。この脆弱性は、通常サーバーで信頼できるコード（管理者がインストールしたコードなど）のみを読み込んで実行するJavaデプロイメントには存在しません。CVSS 3.1ベーススコア7.4（整合性への影響）CVSS Vector：
(CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:H/A:N) (CVE-2020-14593)

＃OpenJDK 11の2020年7月OpenJDKセキュリティ更新の完全なリリースノート：
https://bitly.com/openjdk1108

## セキュリティ修正

  - JDK-8230613：ASCII変換の改善

  - JDK-8231800：配列のリストを改善

  - JDK-8232014：DTDサポートを拡大します

  - JDK-8233234：Zipネーミングの改善

  - JDK-8233239、CVE-2020-14562：TIFFサポートを強化します

  - JDK-8233255：Swingボタンの改善

  - JDK-8234032：基本的なカレンダーサービスを改善

  - JDK-8234042：証明書の工場生産を改善

  - JDK-8234418：CertificateFactoryによる解析の改善

  - JDK-8234836：シリアル化の処理を改善します

  - JDK-8236191：OID処理を強化します

  - JDK-8236867、CVE-2020-14573：Graalインターフェイスの処理を強化します

  - JDK-8237117、CVE-2020-14556：ForkJoinPool動作の改善

  - JDK-8237592、CVE-2020-14577：証明書の検証を強化します

  - JDK-8238002、CVE-2020-14581：マトリックス操作の改善

  - JDK-8238013：文字列の書き込みを強化します

  - JDK-8238804：キー処理プロセスを強化します

  - JDK-8238842：GIFImageReader.initializeStringTableのAIOOBE

  - JDK-8238843：強化されたフォント処理

  - JDK-8238920、CVE-2020-14583：バッファサポートの改善

  - JDK-8238925：WAVファイルの再生を強化します

  - JDK-8240119、CVE-2020-14593：Affine変換の削減

  - JDK-8240482：WAVファイル再生の改善

  - JDK-8241379：JCEKSサポートを更新

  - JDK-8241522：Manifestはjarヘッダーreduxを改善しました

  - JDK-8242136、CVE-2020-14621：XML名前空間処理の改善

## [JDK-8244167]（https://bugs.openjdk.java.net/browse/JDK-8244167):
Comodo Root CA証明書の削除

次の期限切れのComodoルートCA証明書が「cacerts」キーストアから削除されました：+エイリアス名「addtrustclass1ca [jdk]」

識別名：CN=AddTrust Class 1 CA Root、OU=AddTrust TTP Network、O=AddTrust AB, C=SE

## [JDK-8244166]（https://bugs.openjdk.java.net/browse/JDK-8244166):
DocuSign Root CA証明書の削除

次の期限切れのDocuSignルートCA証明書が「cacerts」キーストアから削除されました：+エイリアス名「keynectisrootca [jdk]」

識別名：CN=KEYNECTIS ROOT CA、OU=ROOT、O=KEYNECTIS、C=FR

## [JDK-8240191]（https://bugs.openjdk.java.net/browse/JDK-8240191):
セキュリティモジュールデータベースに外部FIPSモジュールが存在する場合に、NSSでSunPKCS11を初期化できるようにします

FIPSが有効な外部モジュールがセキュリティモジュールデータベース（NSSDB）で構成されている場合に、SunPKCS11セキュリティプロバイダーをNSSで初期化できるようになりました。この変更より前に、SunPKCS11プロバイダーは、次のメッセージを含むRuntimeExceptionをスローしていました：このようなライブラリが非FIPSモードのNSSに対して構成された場合、「FIPSフラグが非内部モジュールに対して設定されます」。

この変更により、システム全体でFIPSポリシーがオンの場合に、JDKがGNU/Linuxオペレーティングシステム上の最近のNSSリリースと適切に連動するようになります。

詳細については、[JDK-8238555]（https://bugs.openjdk.java.net/browse/JDK-8238555）を参照してください。

## [JDK-8245077]（https://bugs.openjdk.java.net/browse/JDK-8245077):
デフォルトのSSLEngineはサーバーロールで作成する必要があります

JDK 11以降では、ハンドシェイクの際に「javax.net.ssl.SSLEngine」はデフォルトでクライアントモードを使用していました。その結果、一連のデフォルトで有効なプロトコルが、予想とは異なる場合があります。 「SSLEngine」は通常、サーバーモードで使用されます。このJDKリリース以降、「SSLEngine」はデフォルトでサーバーモードになります。「javax.net.ssl.SSLEngine.setUseClientMode(boolean mode)」メソッドを使用してモードを構成することができます。

## [JDK-8242147]（https://bugs.openjdk.java.net/browse/JDK-8242147):
TLS署名方式を構成するための新しいシステムプロパティ

2つの新しいシステムプロパティが追加され、JDKのTLS署名スキームがカスタマイズされました。 「jdk.tls.client.SignatureSchemes」がTLSクライアント側に追加され、「jdk.tls.server.SignatureSchemes」がサーバー側に追加されました。

各システムプロパティには、TLS接続に使用される可能性のある署名スキームを指定する、サポートされている署名スキーム名のカンマ区切りリストが含まれています。

名前は、

* Javaセキュリティ標準アルゴリズム名仕様*の「署名スキーム」セクションで説明されています。

注意：Tenable Network Securityは、前述の記述ブロックをFedora更新システムのWebサイトから直接抽出しています。
Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

リモートの CentOS Linux 7 ホストに、RHSA-2020:2969 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

  - Oracle Java SE の Java SE、Java SE Embedded 製品の脆弱性 (コンポーネント: ライブラリ)。サポートされているバージョンで影響を受けるのは、Java SE: 8u251、11.0.7、14.0.1、Java SE Embedded: 8u251 です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE、Java SE Embedded を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Java SE、Java SE Embedded がアクセス可能な一部のデータが権限なしで更新、挿入または削除され、Java SE、Java SE Embedded がアクセス可能なデータサブセットへの権限のない読み取りアクセスが可能になる可能性があります。注意: クライアントとサーバーへの Java のデプロイメントが対象です。この脆弱性は、サンドボックス化された Java Web Start アプリケーションと Java アプレットを通じて悪用される可能性があります。また、サンドボックス化された Java Web Start アプリケーションやサンドボックス化された Java アプレット (Web サービスなど ) を使用せずに、指定されたコンポーネントの API にデータを提供することでも悪用されます。(CVE-2020-14556)

  - Oracle Java SE の Java SE 製品の脆弱性（コンポーネント：ImageIO）。サポートされているバージョンで影響を受けるのは、Java SE：11.0.7および14.0.1です。容易に悪用可能な脆弱性を使用して、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Java SEの部分的なサービス拒否（部分的DOS）が権限なしで引き起こされる可能性があります。注意:
    この脆弱性は、通常、サンドボックス化された Java Web Start アプリケーションまたはサンドボックス化された Java アプレットを実行しているクライアントで信頼できないコード (インターネットからのコードなど) を読み込んで実行し、セキュリティを Java サンドボックスに依存する Java デプロイメントが対象です。この脆弱性は、通常サーバーで信頼できるコード (管理者がインストールしたコードなど) のみを読み込んで実行する Java デプロイメントを対象としていません。(CVE-2020-14562)

  - Oracle Java SE の Java SE 製品の脆弱性（コンポーネント：ホットスポット）。サポートされているバージョンで影響を受けるのは、Java SE：11.0.7および14.0.1です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、Java SE を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Java SE がアクセスできるデータの一部が、権限なしで更新、挿入、削除される可能性があります。注意: クライアントとサーバーへの Java のデプロイメントが対象です。この脆弱性は、サンドボックス化された Java Web Start アプリケーションと Java アプレットを通じて悪用される可能性があります。また、サンドボックス化された Java Web Start アプリケーションやサンドボックス化された Java アプレット (Web サービスなど ) を使用せずに、指定されたコンポーネントの API にデータを提供することでも悪用されます。(CVE-2020-14573)

  - Oracle Java SE の Java SE、Java SE Embedded 製品の脆弱性 (コンポーネント: JSSE)。サポートされているバージョンで影響を受けるのは、Java SE: 7u261、8u251、11.0.7、14.0.1、Java SE Embedded: 8u251 です。
    悪用が難しい脆弱性ですが、認証されていない攻撃者が TLS を介してネットワークにアクセスし、Java SE、Java SE Embedded を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Java SE、Java SE Embedded がアクセスできるデータのサブセットに対して、権限なしで読み取りアクセスされる可能性があります。注意: クライアントとサーバーへの Java のデプロイメントが対象です。この脆弱性は、サンドボックス化された Java Web Start アプリケーションと Java アプレットを通じて悪用される可能性があります。また、サンドボックス化された Java Web Start アプリケーションやサンドボックス化された Java アプレット (Web サービスなど ) を使用せずに、指定されたコンポーネントの API にデータを提供することでも悪用されます。(CVE-2020-14577)

  - Oracle Java SE の Java SE、Java SE Embedded 製品の脆弱性 (コンポーネント: ライブラリ)。サポートされているバージョンで影響を受けるのは、Java SE: 7u261、8u251、11.0.7、14.0.1、Java SE Embedded: 8u251 です。
    悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE、Java SE Embedded を侵害する可能性があります。攻撃を成功させるには攻撃者以外の人間の関与が必要であり、脆弱性が存在するのは Java SE、Java SE Embedded であるものの、攻撃が他の製品に大きな影響を与える可能性があります。この脆弱性に対する攻撃が成功すると、Java SE および Java SE Embedded の乗っ取りが発生する可能性があります。注意: この脆弱性は、通常、サンドボックス化された Java Web Start アプリケーションまたはサンドボックス化された Java アプレットを実行しているクライアントで信頼できないコード (インターネットからのコードなど) を読み込んで実行し、セキュリティを Java サンドボックスに依存する Java デプロイメントが対象です。この脆弱性は、通常サーバーで信頼できるコード (管理者がインストールしたコードなど) のみを読み込んで実行する Java デプロイメントを対象としていません。(CVE-2020-14583)

  - Oracle Java SE の Java SE、Java SE Embedded 製品の脆弱性 (コンポーネント: 2D)。サポートされているバージョンで影響を受けるのは、Java SE: 7u261、8u251、11.0.7、14.0.1、Java SE Embedded: 8u251 です。容易に悪用可能な脆弱性を利用して、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE や Java SE Embedded を侵害する可能性があります。攻撃を成功させるには攻撃者以外の人間の関与が必要であり、脆弱性が存在するのは Java SE、Java SE Embedded であるものの、攻撃が他の製品に大きな影響を与える可能性があります。この脆弱性に対する攻撃が成功すると、重要なデータや Java SE、Java SE Embedded がアクセスできるすべてのデータが権限なしで作成、削除、変更される可能性があります。注意:
    この脆弱性は、通常、サンドボックス化された Java Web Start アプリケーションまたはサンドボックス化された Java アプレットを実行しているクライアントで信頼できないコード (インターネットからのコードなど) を読み込んで実行し、セキュリティを Java サンドボックスに依存する Java デプロイメントが対象です。この脆弱性は、通常サーバーで信頼できるコード (管理者がインストールしたコードなど) のみを読み込んで実行する Java デプロイメントを対象としていません。(CVE-2020-14593)

  - Java SE、Oracle Java SE の Java SE Embedded 製品の脆弱性 (コンポーネント: JAXP)。サポートされているバージョンで影響を受けるのは、Java SE: 7u261、8u251、11.0.7、14.0.1、Java SE Embedded: 8u251 です。容易に悪用可能な脆弱性を利用して、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE や Java SE Embedded を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Java SE、Java SE Embedded がアクセスできるデータの一部が、権限なしで更新、挿入、削除される可能性があります。注意: この脆弱性は、信頼できない Java Web Start アプリケーションや信頼できない Java アプレット (Web サービスなど) を使用しなくても、特定のコンポーネントの API にデータを提供するだけで悪用される可能性があります。
    (CVE-2020-14621)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - Oracle Java SE の Java SE、Java SE Embedded 製品の脆弱性 (コンポーネント: ライブラリ)。サポートされているバージョンで影響を受けるのは、Java SE: 8u251、11.0.7、14.0.1、Java SE Embedded: 8u251 です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE、Java SE Embedded を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Java SE、Java SE Embedded がアクセス可能な一部のデータが権限なしで更新、挿入または削除され、Java SE、Java SE Embedded がアクセス可能なデータサブセットへの権限のない読み取りアクセスが可能になる可能性があります。注意: クライアントとサーバーへの Java のデプロイメントが対象です。この脆弱性は、サンドボックス化された Java Web Start アプリケーションと Java アプレットを通じて悪用される可能性があります。また、サンドボックス化された Java Web Start アプリケーションやサンドボックス化された Java アプレット (Web サービスなど ) を使用せずに、指定されたコンポーネントの API にデータを提供することでも悪用されます。(CVE-2020-14556)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
140611	Amazon Linux AMI：java-1.8.0-openjdk（ALAS-2020-1434）	Nessus	Amazon Linux Local Security Checks	2020/9/16	2024/12/11	high
138585	Scientific Linux セキュリティ更新: SL7.x x86_64のjava-1.8.0-openjdk（20200716）	Nessus	Scientific Linux Local Security Checks	2020/7/17	2024/3/1	high
151212	OpenJDK 7 <= 7u261 / 8 <= 8u252 / 11.0.0 <= 11.0.7 / 13.0.0 <= 13.0.3 / 14.0.0 <= 14.0.1 複数の脆弱性（2020年7月14日）	Nessus	Misc.	2021/7/6	2022/5/9	high
159447	Amazon Corretto Java 11.x< 11.0.8.10.1複数の脆弱性	Nessus	Misc.	2022/4/1	2022/5/6	high
145916	CentOS 8：java-1.8.0-openjdk（CESA-2020: 2972）	Nessus	CentOS Local Security Checks	2021/2/1	2022/5/10	high
143318	openSUSEセキュリティ更新プログラム：java-1_8_0-openjdk（openSUSE-2020-2048）	Nessus	SuSE Local Security Checks	2020/11/30	2024/2/7	high
138630	Amazon Linux 2：java-11-amazon-corretto (ALAS-2020-1464)	Nessus	Amazon Linux Local Security Checks	2020/7/20	2024/12/11	high
139104	Fedora 31：1: java-11-openjdk（2020-93cc9c3ef2）	Nessus	Fedora Local Security Checks	2020/7/30	2024/2/27	high
139423	CentOS 7 : java-11-openjdk (RHSA-2020:2969)	Nessus	CentOS Local Security Checks	2020/8/7	2024/10/9	high
223272	Linux Distros のパッチ未適用の脆弱性: CVE-2020-14556	Nessus	Misc.	2025/3/4	2025/9/1	medium

検出

プラグインの検索

high

high

high

high

high

high

high

high

high

medium