Amazon Linux 2:java-11-amazon-corretto (ALAS-2019-1246)

medium Nessus Plugin ID 126958

Synopsis

遠端 Amazon Linux 2 主機缺少一個安全性更新。

描述

OpenJDK:AccessController 中的權限限制不充分 (安全性,8216381) (CVE-2019-2786) OpenJDK:在 Collections 中進行還原序列化時,發生無限制記憶體配置 (公用程式,8213432) (CVE-2019-2769) libpng:在 libpng 中,png.c 的 png_image_free 中有釋放後使用情形,因為 png_image_free_function 是在 png_safe_execute 下遭到呼叫。(CVE-2019-7317) OpenJDK:: 在還原序列化中,對抑制例外的檢查不充分 (公用程式,8212328) (CVE-2019-2762) OpenJDK:在 Windows 中,對 file:// URL 的權限檢查不充分 (網路,8213431) (CVE-2019-2766) OpenJDK:ChaCha20Cipher 中的非常數時間比較 (安全性,8221344) ( CVE-2019-2818) OpenJDK:缺少 URL 格式驗證 (網路,8221518) (CVE-2019-2816) OpenJDK:橢圓曲線 (EC) 密碼編譯中的旁路攻擊風險 (安全性,8208698) (CVE-2019-2745) OpenJDK:TLS 交握時,認證狀態訊息的處理不正確 (JSSE,8222678) (CVE-2019-2821)

解決方案

執行「yum update java-11-amazon-corretto」以更新系統。

另請參閱

https://alas.aws.amazon.com/AL2/ALAS-2019-1246.html

Plugin 詳細資訊

嚴重性: Medium

ID: 126958

檔案名稱: al2_ALAS-2019-1246.nasl

版本: 1.5

類型: local

代理程式: unix

已發布: 2019/7/24

已更新: 2022/5/23

支持的傳感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent

風險資訊

VPR

風險因素: Medium

分數: 5.1

CVSS v2

風險因素: Medium

基本分數: 5.8

時間分數: 4.3

媒介: AV:N/AC:M/Au:N/C:P/I:P/A:N

時間媒介: E:U/RL:OF/RC:C

CVSS 評分資料來源: CVE-2019-2816

CVSS v3

風險因素: Medium

基本分數: 5.3

時間分數: 4.6

媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:N/A:N

時間媒介: E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:amazon:linux:java-11-amazon-corretto, p-cpe:/a:amazon:linux:java-11-amazon-corretto-headless, p-cpe:/a:amazon:linux:java-11-amazon-corretto-javadoc, cpe:/o:amazon:linux:2

必要的 KB 項目: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2019/7/18

弱點發布日期: 2019/2/4

參考資訊

CVE: CVE-2019-2745, CVE-2019-2762, CVE-2019-2766, CVE-2019-2769, CVE-2019-2786, CVE-2019-2816, CVE-2019-2818, CVE-2019-2821, CVE-2019-7317

ALAS: 2019-1246