Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory – Jan 2020)

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

1月15日に四半期恒例のOracle Javaの脆弱性(CVE-2020-2604, CVE-2019-16168, CVE-2019-13117, CVE-2019-13118, CVE-2020-2601, CVE-2020-2585, CVE-2020-2655, CVE-2020-2593, CVE-2020-2654, CVE-2020-2590, CVE-2020-2659, CVE-2020-2583)が公開されました。今回はこれらのJavaの脆弱性についてまとめてみます。

情報は分かり次第追記・更新します。



CVE概要(詳細はCVEのサイトをご確認ください)

  • CVE-2020-2604
    • 影響するバージョン:Java SE: 7u241, 8u231, 11.0.5, 13.0.1; Java SE Embedded: 8u231
    • サブコンポーネント: Serialization
    • CVSS 3.0 Base Score 8.1
    • CVSS Vector: 元情報参照
    • 悪用が難しい脆弱性により、認証されていない攻撃者が複数のプロトコル用してネットワークにアクセスし、Oracle GraalVM Enterprise Editionを侵害する可能性があります。 この脆弱性の攻撃を成功させると、Oracle GraalVM Enterprise Editionをのっとることが出来る可能性があります。
  • CVE-2019-16168
    • 影響するバージョン:Java SE: 8u231
    • サブコンポーネント: JavaFX (SQLite)
    • CVSS 3.0 Base Score 7.5
    • CVSS Vector: 元情報参照
    • 3.29.0までのSQLiteでは、sqlite3.c中のwhereLoopAddBtreeIndexが、sqlite_stat1 szフィールドの確認不足のため、ブラウザやその他のアプリケーションをクラッシュさせることができる可能性があります。
  • CVE-2019-13117
    • 影響するバージョン:Java SE: 8u231
    • サブコンポーネント: JavaFX (libxslt)
    • CVSS 3.0 Base Score 7.5
    • CVSS Vector: 元情報参照
    • libxslt 1.1.33のnumbers.cでは、特定のフォーマット文字列を持つxsl:numberにより、xsltNumberFormatInsertNumbersで初期化されていない読み取りが発生する可能性があります。 これにより、攻撃者はスタック上のバイトに文字A、a、I、i、0、またはその他の文字が含まれているかどうかを識別できます。
  • CVE-2019-13118
    • 影響するバージョン:Java SE: 8u231
    • サブコンポーネント: JavaFX (libxslt)
    • CVSS 3.0 Base Score 7.5
    • CVSS Vector: 元情報参照
    • libxslt 1.1.33のnumbers.cでは、xsl:numberのグループ化文字列を保持する型が狭すぎるため、無効な文字/長さの組み合わせがxsltNumberFormatDecimalに渡され、初期化されていないスタックデータが読み取られる可能性があります。
  • CVE-2020-2601
    • 影響するバージョン:Java SE: 7u241, 8u231, 11.0.5, 13.0.1; Java SE Embedded: 8u231
    • サブコンポーネント: Security
    • CVSS 3.0 Base Score 6.8
    • CVSS Vector: 元情報参照
    • 悪用が難しい脆弱性により、Kerberosにネットワークを介してアクセスできることが出来る、認証されていない攻撃者がJava SE, Java SE Embeddedを危殆化する事ができる可能性があります。この脆弱性はJava SE, Java SE Embeddedにありますが、攻撃はその他の製品にも大きな影響を与える可能性があります。この脆弱性の攻撃が成功すると、重要なデータへの不正アクセス、またすべてのJava SE、Java SE Embeddedがアクセス可能なデータへの完全なアクセスが発生する可能性があります。
  • CVE-2020-2585
    • 影響するバージョン:Java SE: 8u231
    • サブコンポーネント: JavaFX
    • CVSS 3.0 Base Score 5.9
    • CVSS Vector: 元情報参照
    • 悪用が難しい脆弱性により、複数のプロトコルでネットワークを介してアクセスできることが出来る、認証されていない攻撃者がJava SEを危殆化する事ができる可能性があります。この脆弱性の攻撃が成功すると、重要なデータまたはすべてのJava SEアクセス可能データへの不正な作成、削除、または変更アクセスが発生する可能性があります。
  • CVE-2020-2655
    • 影響するバージョン:Java SE: 11.0.5, 13.0.1
    • サブコンポーネント: JSSE
    • CVSS 3.0 Base Score 4.8
    • CVSS Vector: 元情報参照
    • 悪用が難しい脆弱性により、HTTPSにネットワークを介してアクセスできることが出来る、認証されていない攻撃者がJava SEを危殆化する事ができる可能性があります。この脆弱性の攻撃が成功すると、重要なデータまたはすべてのJava SEアクセス可能データへの不正な作成、削除、または変更アクセスが発生する可能性があります。
  • CVE-2020-2593
    • 影響するバージョン:Java SE: 7u241, 8u231, 11.0.5, 13.0.1; Java SE Embedded: 8u231
    • サブコンポーネント: Networking
    • CVSS 3.0 Base Score 4.8
    • CVSS Vector: 元情報参照
    • 悪用が難しい脆弱性により、複数のプロトコルでネットワークを介してアクセスできることが出来る、認証されていない攻撃者がJava SEを危殆化する事ができる可能性があります。この脆弱性の攻撃が成功すると、重要なデータまたはすべてのJava SEアクセス可能データへの不正な作成、削除、または変更アクセスが発生する可能性があります。
  • CVE-2020-2654
    • 影響するバージョン:Java SE: 7u241, 8u231, 11.0.5, 13.0.1
    • サブコンポーネント: Libraries
    • CVSS 3.0 Base Score 3.7
    • CVSS Vector: 元情報参照
    • 悪用が難しい脆弱性により、複数のプロトコルでネットワークを介してアクセスできることが出来る、認証されていない攻撃者がJava SEを危殆化する事ができる可能性があります。この脆弱性の攻撃が成功すると、Java SEの部分的なサービス拒否(DoS)を引き起こす事ができる可能性があります。
  • CVE-2020-2590
    • 影響するバージョン:Java SE: 7u241, 8u231, 11.0.5, 13.0.1; Java SE Embedded: 8u231
    • サブコンポーネント: Security
    • CVSS 3.0 Base Score 3.7
    • CVSS Vector: 元情報参照
    • 悪用が難しい脆弱性により、Kerberosにネットワークを介してアクセスできることが出来る、認証されていない攻撃者がJava SE, Java SE Embeddedを危殆化する事ができる可能性があります。この脆弱性が成功すると、Java SE, Java SE Embeddedがアクセス可能なデータの一部に対して不正な更新・挿入・削除のアクセスが行われる可能性が有ります。
  • CVE-2020-2659
    • 影響するバージョン:Java SE: 7u241, 8u231; Java SE Embedded: 8u231
    • サブコンポーネント: Networking
    • CVSS 3.0 Base Score 3.7
    • CVSS Vector: 元情報参照
    • 悪用が難しい脆弱性により、複数のプロトコルでネットワークを介してアクセスできることが出来る、認証されていない攻撃者がJava SEを危殆化する事ができる可能性があります。この脆弱性の攻撃が成功すると、Java SEの部分的なサービス拒否(DoS)を引き起こす事ができる可能性があります。
  • CVE-2020-2583
    • 影響するバージョン:Java SE: 7u241, 8u231, 11.0.5, 13.0.1; Java SE Embedded: 8u231
    • サブコンポーネント: Serialization
    • CVSS 3.0 Base Score 3.7
    • CVSS Vector: 元情報参照
    • 悪用が難しい脆弱性により、複数のプロトコルでネットワークを介してアクセスできることが出来る、認証されていない攻撃者がJava SEを危殆化する事ができる可能性があります。この脆弱性の攻撃が成功すると、Java SEの部分的なサービス拒否(DoS)を引き起こす事ができる可能性があります。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください


対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteKatello、Spacewalk等を使うと管理が便利でしょう。

また、サービスの再起動が発生しますので、peacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。



セキュリティ系連載案内


タイトルとURLをコピーしました