遠端主機上安裝的 Oracle JDeveloper 版本缺少一個安全性修補程式。因此，會受到 Oracle 資料庫伺服器的 Spatial (Apache Groovy) 元件中一個弱點的影響。詳情請參閱供應商公告。

遠端 Redhat Enterprise Linux 7 主機上安裝的套件受到 RHSA-2017:2486 公告中提及的多個弱點影響。

    Groovy 是 Java 虛擬機器所使用的敏捷、動態語言，建置於 Java 的基礎上，且功能受到 Python、Ruby 和 Smalltalk 語言的啟發。它能完美整合所有現有的 Java 物件和程式庫，並直接編譯為 Java bytecode，因此可以在任何使用 Java 的地方使用。

    安全性修正:

    * 據發現，Apache groovy 程式庫中的缺陷會導致當應用程式發生反序列化時，該缺陷即允許遠端程式碼執行。攻擊者就可以特製序列化物件，在還原序列化時直接執行程式碼。所有依賴序列化且不隔離還原序列化物件之程式碼的應用程式都容易受此弱點影響。 (CVE-2016-6814)

Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

現已提供適用於 Red Hat Enterprise Linux 7 的 groovy 更新。Red Hat 產品安全性團隊已將此更新評等為具有重要安全性影響。可從〈參照〉一節的 CVE 連結中取得每個弱點之常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。Groovy 是 Java 虛擬機器所使用的敏捷、動態語言，建置於 Java 的基礎上，且功能受到 Python、Ruby 和 Smalltalk 語言的啟發。它能完美整合所有現有的 Java 物件和程式庫，並直接編譯為 Java bytecode，因此可以在任何使用 Java 的地方使用。安全性修正：* 據發現，Apache groovy 程式庫中的缺陷會導致當應用程式發生還原序列化時，允許遠端程式碼執行。攻擊者就可以特製序列化物件，在還原序列化時直接執行程式碼。所有依賴序列化且不隔離還原序列化物件之程式碼的應用程式都容易受此弱點影響。(CVE-2016-6814)

远程 Oracle 数据库服务器缺少 2017 年 10 月的关键修补程序更新 (CPU)。因此，如 2017 年 10 月关键修补程序更新公告所述，会受到多个漏洞的影响。请参阅相关 CVE 的 CVRF 详细说明以获取更多信息。

请注意，Nessus 并未测试这些问题，而是只依赖于应用程序自我报告的版本号。

远程主机上安装的 Oracle JDeveloper 版本缺少一个安全修补程序。因而会受到 Oracle Database Server Spatial (Apache Groovy) 组件中漏洞的影响。请查看供应商公告，获取更多信息。

远程 Redhat Enterprise Linux 7 主机上安装的程序包受到 RHSA-2017:2486 公告中提及的多个漏洞的影响。

    Groovy 是用于 Java 虚拟机的一种敏捷动态语言，构建在 Java 之上，并添加借鉴于 Python、Ruby、Smalltalk 等语言的特征。它可与现有的所有 Java 对象和类库无缝集成，直接编译成 Java 字节码，以便在任何使用 Java 的位置使用 Groovy。

    安全修复：

    * 在 Apache groovy 类库中发现缺陷，应用程序中无论何处发生反序列化，该缺陷即允许远程代码执行。攻击者可构建特殊的序列化对象，该对象在反序列化时直接执行代码。所有依赖于序列化且未隔离反序列化对象的代码的应用程序都会受到此漏洞的影响。 (CVE-2016-6814)

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

groovy 更新现可用于 Red Hat Enterprise Linux 7。Red Hat 产品安全团队将此更新评级为具有重要安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数，其针对每个漏洞给出了详细的严重性等级。Groovy 是用于 Java 虚拟机的一种敏捷动态语言，构建在 Java 之上，并添加借鉴于 Python、Ruby、Smalltalk 等语言的特征。它可与现有的所有 Java 对象和类库无缝集成，直接编译成 Java 字节码，以便在任何使用 Java 的位置使用 Groovy。安全修复：* 在 Apache groovy 类库中发现缺陷，程序中无论何处发生反序列化，该缺陷即允许远程代码执行。攻击者可构建特殊的序列化对象，该对象在反序列化时直接执行代码。所有依赖序列化且不隔离用于反序列化对象的代码的应用程序都容易受到此漏洞的影响。(CVE-2016-6814)

自己報告されたバージョン番号によると、リモートのWebサーバーで実行されているOracle Primavera Gatewayのインストールは、14.2.3より前、15.2.12より前の15.x、または16.2.4より前の16.xです。したがって、次の脆弱性の影響を受けます： - XMLパーサーが正しく設定されておらず信頼できないソースからのXML外部エンティティを受け入れるため、XMLデータ解析時にXML外部エンティティ（XXE）インジェクションの欠陥があり、Primavera Integration（Standard）コンポーネント、特にApache Standard Taglibに、リモートでコードが実行される脆弱性があります。認証されていないリモートの攻撃者がこれを悪用し、特別に細工されたXMLデータを介して、標的のシステムのリソースを漏えいしたり、XSLT拡張機能を利用して任意のコードを実行したりする可能性があります。（CVE-2015-0254）- Apache Commons Collections（ACC）ライブラリへの認証されていない Java オブジェクトの逆シリアル化呼び出しが安全ではないため、リモートでコードが実行される脆弱性がPrimavera Integration（Groovy）コンポーネントにあります。認証されていないリモートの攻撃者がこれを悪用し、ターゲットホスト上で任意のコードを実行する恐れがあります。（CVE-2016-6814）Nessusはこれらの問題をテストしていませんが、その代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

Apache Groovyプロジェクトによる報告:

クラスパスにGroovyがあるアプリケーションが標準的なJavaシリアル化メカニズムを使用する場合（サーバー間通信やローカルデータの保存など）、攻撃者が逆シリアル化時に直接コードを実行する特別にシリアル化されたオブジェクトをベイク処理する可能性があります。
シリアル化を利用し、オブジェクトを逆シリアル化するコードを分離しないアプリケーションはすべて、この脆弱性の影響を受けます。
これはCVE-2015-3253に類似していますが、この悪用にはオブジェクトの余分なラッピングと例外のキャッチが含まれ、現在は安全に保護されています。

以下のためのセキュリティ修正 CVE-2016-6814

注意：Tenable Network Securityは、前述の記述ブロックをFedora更新システムのWebサイトから直接抽出しています。
Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

リモート Redhat Enterprise Linux 6 / 7 ホストに、RHSA-2017:2596 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    GroovyはJavaで構築され、Python、Ruby、Smalltalkなどの言語に似た機能を備えた、Java Virtual Machine用の俊敏で動的な言語です。既存のすべてのJavaオブジェクトおよびライブラリとシームレスに統合され、Javaバイトコードに直接コンパイルできるため、Javaを使用できる場所であればどこでも使用できます。

    セキュリティ修正プログラム: 

    * Groovy の MethodClosure クラスで、複数のオブジェクトデシリアライゼーションの欠陥が検出されました。Groovy ライブラリを使用してアプリケーションによってデシリアライゼーションが行われた、特別に細工されたシリアルオブジェクトは、アプリケーションで任意のコードを実行する可能性があります。(CVE-2015-3253、CVE-2016-6814)

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ID	Name	Product	Family	Published	Updated	Severity
103931	Oracle JDeveloper ADF Faces Unspecified Remote Code Execution (October 2017 CPU)	Nessus	Misc.	10/18/2017	4/11/2022	critical
102574	RHEL 7：groovy (RHSA-2017:2486)	Nessus	Red Hat Local Security Checks	8/18/2017	4/29/2025	critical
102879	CentOS 7：groovy (CESA-2017:2486)	Nessus	CentOS Local Security Checks	9/1/2017	1/4/2021	critical
103971	Oracle 数据库多个漏洞（2017 年 10 月 CPU）	Nessus	Databases	10/19/2017	5/14/2023	critical
103931	Oracle JDeveloper ADF Faces Unspecified Remote Code Execution (October 2017 CPU)	Nessus	Misc.	10/18/2017	4/11/2022	critical
102574	RHEL 7 : groovy (RHSA-2017:2486)	Nessus	Red Hat Local Security Checks	8/18/2017	4/29/2025	critical
102879	CentOS 7 : groovy (CESA-2017:2486)	Nessus	CentOS Local Security Checks	9/1/2017	1/4/2021	critical
101899	Oracle Primavera Gatewayの複数の脆弱性（2017年7月のCPU）	Nessus	CGI abuses	7/21/2017	1/29/2021	critical
96511	FreeBSD: groovy -- 信頼できないコード/DoSのリモート実行の脆弱性（4af92a40-db33-11e6-ae1b-002590263bf5）	Nessus	FreeBSD Local Security Checks	1/16/2017	1/4/2021	critical
96679	Fedora 25：groovy（2017-cc0e0daf0f）	Nessus	Fedora Local Security Checks	1/23/2017	1/6/2021	critical
210264	RHEL 6 / 7 : rh-maven33-groovy (RHSA-2017:2596)	Nessus	Red Hat Local Security Checks	11/5/2024	4/29/2025	critical

Detections

Analytics

Plugins Search

critical

critical

critical

critical

critical

critical

critical

critical

critical

critical

critical