リモートの Redhat Enterprise Linux 6ホストにインストールされているパッケージは、RHSA-2020: 1506アドバイザリに記載されている複数の脆弱性の影響を受けます。

  - OpenJDK：RegExpScannerでの間違った正規表現の構文エラーチェック（スクリプティング、8223898）（CVE-2020-2754）

  - OpenJDK：正規表現パーサーの空の文字列ノードの不適切な処理（スクリプティング、8223904）（CVE-2020-2755）

  - OpenJDK：逆シリアル化中の初期化されていないクラス記述子への参照の不適切な処理（シリアル化、8224541）（CVE-2020-2756）

  - OpenJDK：ObjectStreamClassでの捕捉されないInstantiationError例外（シリアル化、8224549）（CVE-2020-2757）

  - OpenJDK：DOMKeyInfoFactoryおよびDOMXMLSignatureFactoryによって発生する予期しない例外（セキュリティ、8231415）（CVE-2020-2773）

  - OpenJDK：新しい接続に対する単一のTLSセッションの再利用（JSSE、8234408）（CVE-2020-2781）

  - OpenJDK：HttpServerのHTTPヘッダーへのCRLFインジェクション（Lightweight HTTP Server、8234825）（CVE-2020-2800）

  - OpenJDK：NIOバッファでの不適切な境界チェック（ライブラリ、8234841）（CVE-2020-2803）

  - OpenJDK：MethodType.readObject()での不適切なタイプチェック（ライブラリ、8235274）（CVE-2020-2805）

  - OpenJDK：Scannerの正規表現DoS（同時実行性、8236201）（CVE-2020-2830）

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートホストにインストールされているMcAfee ePolicy Orchestratorのインスタンスは、以下のような複数の脆弱性による影響を受けます。

  - ユーザー入力の検証が不十分なため、McAfee ePolicy Orchestratorのバンドルされているコンポーネント（Apache Tomcat）に存在する複数のサービス拒否（DoS）の脆弱性があります。認証されていないリモートの攻撃者がこれらの問題を悪用し、影響を受けるホストに特別に細工されたリクエストを送信して、DoS状態を課す可能性があります。（CVE-2020-9484、CVE-2020-13935） 

  - McAfee ePolicy Orchestratorに認証バイパスの脆弱性が存在します。認証されていないリモートの攻撃者がこれを悪用して、認証をバイパスして、機密データをアクセス/更新する可能性があります（CVE-2020-14621）。

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョンにのみ依存しています。

このjava-1_8_0-openjdkのバージョンjdk8u252への更新では、次の問題を修正します：

CVE-2020-2754：Nashornへの前方参照（bsc#1169511）

CVE-2020-2755：Nashornのマッチングを改善します（bsc#1169511）

CVE-2020-2756：シリアルENUMのマッピングを改善します（bsc#1169511）

CVE-2020-2757：より少ないブロッキング配列キュー（bsc#1169511）

CVE-2020-2773：XML内の署名を改善します（bsc#1169511）

CVE-2020-2781：TLSセッション処理を改善します（bsc#1169511）

CVE-2020-2800：HTTPサーバーの見出しの改善（bsc#1169511）

CVE-2020-2803：バイトバッファのバッファリングを強化します（bsc#1169511）

CVE-2020-2805：メソッドのタイピングを強化します（bsc#1169511）

CVE-2020-2830：スキャナ変換の改善（bsc#1169511）

PEM X.509証明書のヘッダーまたはフッターの後の空白を無視します（bsc#1171352）

注意：Tenable Network Securityは、前述の記述ブロックをSUSEセキュリティアドバイザリから直接抽出しています。Tenableでは、そこに新しい問題を追加することはせずに、できる限り自動的に整理と書式設定をするようにしています。

このjava-11-openjdkの更新では、次の問題を修正します：

Javaが jdk-11.0.7+10に更新しました（2020年4月CPU、bsc#1169511）。

修正されたセキュリティ問題：

CVE-2020-2754：サービス拒否につながる可能性のある正規表現の不正な処理を修正しました（bsc#1169511）。

CVE-2020-2755：サービス拒否につながる可能性のある正規表現の不正な処理を修正しました（bsc#1169511）。

CVE-2020-2756：サービス拒否につながる可能性のある正規表現の不正な処理を修正しました（bsc#1169511）。

CVE-2020-2757：細工されたシリアル化入力を介したサービス拒否につながる可能性のある、オブジェクトの逆シリアル化の問題を修正しました（bsc#1169511）。

CVE-2020-2767：TLSハンドシェイク中の証明書メッセージの不適切な処理を修正しました（bsc#1169511）。

CVE-2020-2773：unmarshalKeyInfo（）とunmarshalXMLSignature（）によってスローされた例外の不適切な処理を修正しました（bsc#1169511）。

CVE-2020-2778：setAlgorithmConstraints（）内のSSLParametersの不適切な処理を修正しました。これが悪用されると、定義済みのシステムセキュリティポリシーがオーバーライドされ、脆弱な暗号アルゴリズムが使用される可能性がありました（bsc#1169511）。

CVE-2020-2781：単一のnull TLSセッションの不適切な再利用を修正しました（bsc#1169511）。

CVE-2020-2800：ヘッダー値内のCR/LFの不適切な処理によって引き起こされるHTTPヘッダーインジェクションの問題を修正しました（bsc#1169511）。

CVE-2020-2803：サンドボックスのバイパスにつながる可能性のある境界チェックと型チェックの問題を修正しました（bsc#1169511）。

CVE-2020-2805：サンドボックスのバイパスにつながる可能性のある境界チェックと型チェックの問題を修正しました（bsc#1169511）。

CVE-2020-2816：TLSハンドシェイク中のアプリケーションデータパケットの不正な処理を修正しました（bsc#1169511）。

CVE-2020-2830：サービス拒否につながる可能性のある正規表現の不正な処理を修正しました（bsc#1169511）。

注意：Tenable Network Securityは、前述の記述ブロックをSUSEセキュリティアドバイザリから直接抽出しています。Tenableでは、そこに新しい問題を追加することはせずに、できる限り自動的に整理と書式設定をするようにしています。

リモートの Redhat Enterprise Linux 7 ホストにインストールされているパッケージは、RHSA-2020: 1509アドバイザリに記載されている複数の脆弱性の影響を受けます。

  - OpenJDK：RegExpScannerでの間違った正規表現の構文エラーチェック（スクリプティング、8223898）（CVE-2020-2754）

  - OpenJDK：正規表現パーサーの空の文字列ノードの不適切な処理（スクリプティング、8223904）（CVE-2020-2755）

  - OpenJDK：逆シリアル化中の初期化されていないクラス記述子への参照の不適切な処理（シリアル化、8224541）（CVE-2020-2756）

  - OpenJDK：ObjectStreamClassでの捕捉されないInstantiationError例外（シリアル化、8224549）（CVE-2020-2757）

  - OpenJDK：TLSハンドシェイク中の証明書メッセージの不適切な処理（JSSE、8232581）（CVE-2020-2767）

  - OpenJDK：DOMKeyInfoFactoryおよびDOMXMLSignatureFactoryによって発生する予期しない例外（セキュリティ、8231415）（CVE-2020-2773）

  - OpenJDK：TLSのアルゴリズム制限の不完全な実施（JSSE、8232424）（CVE-2020-2778）

  - OpenJDK：新しい接続に対する単一のTLSセッションの再利用（JSSE、8234408）（CVE-2020-2781）

  - OpenJDK：HttpServerのHTTPヘッダーへのCRLFインジェクション（Lightweight HTTP Server、8234825）（CVE-2020-2800）

  - OpenJDK：NIOバッファでの不適切な境界チェック（ライブラリ、8234841）（CVE-2020-2803）

  - OpenJDK：MethodType.readObject()での不適切なタイプチェック（ライブラリ、8235274）（CVE-2020-2805）

  - OpenJDK：TLSハンドシェイク完了前に受け入れられたアプリケーションデータ（JSSE、8235691）（CVE-2020-2816）

  - OpenJDK：Scannerの正規表現DoS（同時実行性、8236201）（CVE-2020-2830）

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

Red Hatセキュリティアドバイザリ2020:1515から:

リモートのRedhat Enterprise Linux 8ホストにインストールされているパッケージは、RHSA-2020: 1515のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - OpenJDK：RegExpScannerでの間違った正規表現の構文エラーチェック（スクリプティング、8223898）（CVE-2020-2754）

  - OpenJDK：正規表現パーサーの空の文字列ノードの不適切な処理（スクリプティング、8223904）（CVE-2020-2755）

  - OpenJDK：逆シリアル化中の初期化されていないクラス記述子への参照の不適切な処理（シリアル化、8224541）（CVE-2020-2756）

  - OpenJDK：ObjectStreamClassでの捕捉されないInstantiationError例外（シリアル化、8224549）（CVE-2020-2757）

  - OpenJDK：DOMKeyInfoFactoryおよびDOMXMLSignatureFactoryによって発生する予期しない例外（セキュリティ、8231415）（CVE-2020-2773）

  - OpenJDK：新しい接続に対する単一のTLSセッションの再利用（JSSE、8234408）（CVE-2020-2781）

  - OpenJDK：HttpServerのHTTPヘッダーへのCRLFインジェクション（Lightweight HTTP Server、8234825）（CVE-2020-2800）

  - OpenJDK：NIOバッファでの不適切な境界チェック（ライブラリ、8234841）（CVE-2020-2803）

  - OpenJDK：MethodType.readObject()での不適切なタイプチェック（ライブラリ、8235274）（CVE-2020-2805）

  - OpenJDK：Scannerの正規表現DoS（同時実行性、8236201）（CVE-2020-2830）

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

OpenJDK Java Runtimeでサービス拒否、不正なTLSハンドシェイク、サンドボックス制限のバイパス、 HTTP応答分割攻撃につながる複数の脆弱性が発見されました。

Debian 8「Jessie」では、これらの問題はバージョン7u261-2.6.22-1~deb8u1で修正されました。

お使いのopenjdk-7パッケージのアップグレードをお勧めします。

注: Tenable Network Securityは、前述の記述ブロックを DLA セキュリティアドバイザリから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

Oracle Java SEのJava SE、Java SE Embedded製品の脆弱性（コンポーネント：シリアル化）。サポートされているバージョンで影響を受けるのは、Java SEです。「yum update 11.0.6」を実行してシステムを更新してください。8u241。
悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE、Java SE Embeddedを侵害する可能性があります。この脆弱性への攻撃が成功すると、Java SEおよびJava SE Embeddedの部分的なサービス拒否（部分的DOS）が権限なしで引き起こされる可能性があります。注意：クライアントとサーバーへのJavaのデプロイメントが対象です。この脆弱性は、サンドボックス化されたJava Web StartアプリケーションとJavaアプレットを通じて悪用される可能性があります。また、サンドボックス化されたJava Web Startアプリケーションやサンドボックス化されたJavaアプレット（Webサービスなど）を使用せずに、指定されたコンポーネントのAPIにデータを提供することでも悪用されます。CVSS 3.0 ベーススコア 3.7（可用性に影響）CVSS Vector：
（CVSS：3.0/AV：N/AC：H/PR：N/UI：N/S：U/C：N/I：N/A：L)。(CVE-2020-2756)

Oracle Java SEのJava SE、Java SE Embedded製品の脆弱性（コンポーネント：シリアル化）。サポートされているバージョンで影響を受けるのは、Java SEです。「yum update 11.0.6」を実行してシステムを更新してください。8u241。
悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE、Java SE Embeddedを侵害する可能性があります。この脆弱性への攻撃が成功すると、Java SEおよびJava SE Embeddedの部分的なサービス拒否（部分的DOS）が権限なしで引き起こされる可能性があります。注意：クライアントとサーバーへのJavaのデプロイメントが対象です。この脆弱性は、サンドボックス化されたJava Web StartアプリケーションとJavaアプレットを通じて悪用される可能性があります。また、サンドボックス化されたJava Web Startアプリケーションやサンドボックス化されたJavaアプレット（Webサービスなど）を使用せずに、指定されたコンポーネントのAPIにデータを提供することでも悪用されます。CVSS 3.0 ベーススコア 3.7（可用性に影響）CVSS Vector：
（CVSS：3.0/AV：N/AC：H/PR：N/UI：N/S：U/C：N/I：N/A：L)。(CVE-2020-2757)

Oracle Java SEのJava SE、Java SE Embedded製品の脆弱性（コンポーネント：セキュリティ）。サポートされているバージョンで影響を受けるのは、Java SEです。「yum update 11.0.6」を実行してシステムを更新してください。8u241。
悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE、Java SE Embeddedを侵害する可能性があります。この脆弱性への攻撃が成功すると、Java SEおよびJava SE Embeddedの部分的なサービス拒否（部分的DOS）が権限なしで引き起こされる可能性があります。注意：クライアントとサーバーへのJavaのデプロイメントが対象です。この脆弱性は、サンドボックス化されたJava Web StartアプリケーションとJavaアプレットを通じて悪用される可能性があります。また、サンドボックス化されたJava Web Startアプリケーションやサンドボックス化されたJavaアプレット（Webサービスなど）を使用せずに、指定されたコンポーネントのAPIにデータを提供することでも悪用されます。CVSS 3.0 ベーススコア 3.7（可用性に影響）CVSS Vector：
（CVSS：3.0/AV：N/AC：H/PR：N/UI：N/S：U/C：N/I：N/A：L)。(CVE-2020-2773)

Oracle Java SEのJava SE、Java SE Embedded製品の脆弱性（コンポーネント：JSSE）。サポートされているバージョンで影響を受けるのは、Java SEです。「yum update 11.0.6」を実行してシステムを更新してください。8u241。容易に悪用可能な脆弱性を利用して、認証されていない攻撃者がHTTPSを介してネットワークにアクセスし、Java SEやJava SE Embeddedを侵害する可能性があります。この脆弱性への攻撃が成功すると、Java SEおよびJava SE Embeddedの部分的なサービス拒否（部分的DOS）が権限なしで引き起こされる可能性があります。注意：クライアントとサーバーへのJavaのデプロイメントが対象です。この脆弱性は、サンドボックス化されたJava Web StartアプリケーションとJavaアプレットを通じて悪用される可能性があります。また、サンドボックス化されたJava Web Startアプリケーションやサンドボックス化されたJavaアプレット（Webサービスなど）を使用せずに、指定されたコンポーネントのAPIにデータを提供することでも悪用されます。CVSS 3.0 ベーススコア 5.3（可用性に影響）CVSS Vector：（CVSS：3.0/AV：N/AC：L/PR：N/UI：N/S：U/C：N/I：N/A：L）。
（CVE-2020-2781）

Oracle Java SEのJava SE、Java SE Embedded製品の脆弱性（コンポーネント：軽量HTTPサーバー）。サポートされているバージョンで影響を受けるのは、Java SEです。「yum update 11.0.6」を実行してシステムを更新してください。
8u241。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SE、Java SE Embeddedを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Java SE、Java SE Embeddedがアクセス可能な一部のデータが権限なしで更新、挿入または削除され、Java SE、Java SE Embeddedがアクセス可能なデータサブセットへの権限のない読み取りアクセスが可能になる可能性があります。注意：
この脆弱性は、信頼できないJava Web Startアプリケーションや信頼できないJavaアプレットを、たとえばWebサービスを介して使用せずに、指定されたコンポーネントのAPIにデータを提供することでのみ悪用される可能性があります。
CVSS 3.0 ベーススコア 4.8（機密性と整合性への影響）CVSS Vector：（CVSS：3.0/AV：N/AC：H/PR：N/UI：N/S：U/C：L/I：L/A：N）。
（CVE-2020-2800）

OpenJDKのライブラリコンポーネントにおけるjava.nioバッファクラスの境界チェックで欠陥が見つかりました。特定のケースでこのチェックがバイパスされてしまいます。この欠陥により、Javaアプリケーションまたはアプレットが、Javaサンドボックスの制限をバイパスする可能性があります。 （CVE-2020-2803）

OpenJDKのライブラリコンポーネントのMethodTypeクラスのreadObject()メソッドが、引数タイプをチェックする方法に欠陥が見つかりました。
この欠陥により、Javaアプリケーションまたはアプレットが、Javaサンドボックスの制限をバイパスする可能性があります。 （CVE-2020-2805）

Oracle Java SEのJava SE、Java SE Embedded製品の脆弱性（コンポーネント：同時実行性）。サポートされているバージョンで影響を受けるのは、Java SEです。「yum update 11.0.6」を実行してシステムを更新してください。8u241。容易に悪用可能な脆弱性を利用して、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Java SEやJava SE Embeddedを侵害する可能性があります。
この脆弱性への攻撃が成功すると、Java SEおよびJava SE Embeddedの部分的なサービス拒否（部分的DOS）が権限なしで引き起こされる可能性があります。注意：クライアントとサーバーへのJavaのデプロイメントが対象です。この脆弱性は、サンドボックス化されたJava Web StartアプリケーションとJavaアプレットを通じて悪用される可能性があります。また、サンドボックス化されたJava Web Startアプリケーションやサンドボックス化されたJavaアプレット（Webサービスなど）を使用せずに、指定されたコンポーネントのAPIにデータを提供することでも悪用されます。CVSS 3.0 ベーススコア 5.3（可用性に影響）CVSS Vector：（CVSS：3.0/AV：N/AC：L/PR：N/UI：N/S：U/C：N/I：N/A：L）。
（CVE-2020-2830）

ID	名前	製品	ファミリー	公開日	更新日	深刻度
135776	RHEL 6：java-1.8.0-openjdk（RHSA-2020: 1506)	Nessus	Red Hat Local Security Checks	2020/4/21	2024/4/28	high
141833	McAfee ePolicy Orchestrator（SB10332）	Nessus	Windows	2020/10/23	2022/12/5	high
138491	SUSE SLES15セキュリティ更新プログラム：java-1_8_0-openjdk（SUSE-SU-2020:1569-2）	Nessus	SuSE Local Security Checks	2020/7/15	2022/5/12	high
137552	SUSE SLED15 / SLES15セキュリティ更新プログラム：java-11-openjdk（SUSE-SU-2020:1511-1）	Nessus	SuSE Local Security Checks	2020/6/17	2022/5/13	high
135905	RHEL 7: java-11-openjdk（RHSA-2020: 1509)	Nessus	Red Hat Local Security Checks	2020/4/22	2024/6/3	high
135956	Oracle Linux 8：java-1.8.0-openjdk (ELSA-2020-1515)	Nessus	Oracle Linux Local Security Checks	2020/4/24	2022/5/13	high
136068	Debian DLA-2193-1: openjdk-7セキュリティ更新プログラム	Nessus	Debian Local Security Checks	2020/4/29	2024/3/14	high
136626	Amazon Linux AMI：java-1.7.0-openjdk（ALAS-2020-1365）	Nessus	Amazon Linux Local Security Checks	2020/5/15	2022/5/13	high
164612	Nutanix AOS : 複数の脆弱性 (NXSA-AOS-5.17.1)	Nessus	Misc.	2022/9/1	2024/3/5	critical

検出

プラグインの検索

high

high

high

high

high

high

high

high

critical