Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory – Apr 2018) — | サイオスOSS | サイオステクノロジー

Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory – Apr 2018) — | サイオスOSS | サイオステクノロジー

Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory – Apr 2018)

4月16日に四半期恒例のOracle Javaの脆弱性が公開されました。今回はこのJavaの脆弱性(CVE-2018-2825 , CVE-2018-2826 , CVE-2018-2814 , CVE-2018-2811 , CVE-2018-2794 , CVE-2018-2783 , CVE-2018-2798 , CVE-2018-2796 , CVE-2018-2799 , CVE-2018-2797 , CVE-2018-2795 , CVE-2018-2815 , CVE-2018-2800 , CVE-2018-2790 )についてまとめてみます。


こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

4月16日に四半期恒例のOracle Javaの脆弱性が公開されました。今回はこのJavaの脆弱性(CVE-2018-2825 , CVE-2018-2826 , CVE-2018-2814 , CVE-2018-2811 , CVE-2018-2794 , CVE-2018-2783 , CVE-2018-2798 , CVE-2018-2796 , CVE-2018-2799 , CVE-2018-2797 , CVE-2018-2795 , CVE-2018-2815 , CVE-2018-2800 , CVE-2018-2790)についてまとめてみます。


CVE概要(詳細はCVEのサイトをご確認ください)

  • CVE-2018-2825

    • 影響するバージョン:Java SE: 10

    • サブコンポーネント: Libraries

    • CVSS 3.0 Base Score 8.3

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H)

    • VarHandleでの不充分なarrayタイプチェック

  • CVE-2018-2826

    • 影響するバージョン:Java SE: 10

    • サブコンポーネント: Libraries

    • CVSS 3.0 Base Score 8.3

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H)

    • MethodHandletryHandle例外タイプのクリーンアップでの不充分なタイプチェック

  • CVE-2018-2814

    • 影響するバージョン:Java SE: 6u181, 7u171, 8u162, 10; Java SE Embedded: 8u161

    • サブコンポーネント: Hotspot

    • CVSS 3.0 Base Score 8.3

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H)

    • Referenceクローンの不正な取扱によるsandboxのバイパス

  • CVE-2018-2811

    • 影響するバージョン:Java SE: 8u162, 10

    • サブコンポーネント: Install

    • CVSS 3.0 Base Score 7.7

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H)

    • N/A

  • CVE-2018-2794

    • 影響するバージョン:Java SE: 6u181, 7u171, 8u162, 10, JRockit: R28.3.17

    • サブコンポーネント: Security

    • CVSS 3.0 Base Score 7.7

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H)

    • JCEKSキーストアからのデータの制限されていないデシリアライゼーション

  • CVE-2018-2783

    • 影響するバージョン:Java SE: 6u181, 7u161, 8u152; Java SE Embedded: 8u152; JRockit: R28.3.17

    • サブコンポーネント: Security

    • CVSS 3.0 Base Score 7.4

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H)

    • N/A

  • CVE-2018-2798

    • 影響するバージョン:Java SE: 6u181, 7u171, 8u162, 10; Java SE Embedded: 8u161; JRockit: R28.3.17

    • サブコンポーネント: AWT

    • CVSS 3.0 Base Score 5.3

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H)

    • Containerでのデシリアライゼーション中の非境界メモリアロケーション

  • CVE-2018-2796

    • 影響するバージョン:Java SE: 7u171, 8u162, 10; Java SE Embedded: 8u161; JRockit: R28.3.17

    • サブコンポーネント: Concurrency

    • CVSS 3.0 Base Score 5.3

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H)

    • PriorityBlockingQueueでのデシリアライゼーション中の非境界メモリアロケーション

  • CVE-2018-2799

    • 影響するバージョン:Java SE: 7u171, 8u162, 10; Java SE Embedded: 8u161; JRockit: R28.3.17

    • サブコンポーネント: JAXP

    • CVSS 3.0 Base Score 5.3

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H)

    • NamedNodeMapImplでのデシリアライゼーション中の非境界メモリアロケーション

  • CVE-2018-2797

    • 影響するバージョン:Java SE: 6u181, 7u171, 8u162, 10; Java SE Embedded: 8u161; JRockit: R28.3.17

    • サブコンポーネント: JMX

    • CVSS 3.0 Base Score 5.3

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H)

    • TabularDataSupportでのデシリアライゼーション中の非境界メモリアロケーション

  • CVE-2018-2795

    • 影響するバージョン:Java SE: 6u181, 7u171, 8u162, 10; Java SE Embedded: 8u161; JRockit: R28.3.17

    • サブコンポーネント: Security

    • CVSS 3.0 Base Score 5.3

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H)

    • 複数のクラスでのデシリアライゼーション中の非境界メモリアロケーション

  • CVE-2018-2815

    • 影響するバージョン:Java SE: 6u181, 7u171, 8u162, 10; Java SE Embedded: 8u161; JRockit: R28.3.17

    • サブコンポーネント: Serialization

    • CVSS 3.0 Base Score 5.3

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H)

    • StubIORImplでのデシリアライゼーション中の非境界メモリアロケーション

  • CVE-2018-2800

    • 影響するバージョン:Java SE: 6u181, 7u171, 8u162; JRockit: R28.3.17

    • サブコンポーネント: RMI

    • CVSS 3.0 Base Score 4.2

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H)

    • HTTP転送がデフォルトで許可

  • CVE-2018-2790

    • 影響するバージョン:Java SE: 6u181, 7u171, 8u162, 10; Java SE Embedded: 8u161

    • サブコンポーネント: Security

    • CVSS 3.0 Base Score 3.1

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H)

    • JARマニフェストでの不正なセクションのマージ


主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください


対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat Satelliteを使うと管理が便利でしょう。

また、javaを使用してサービスを提供している場合には、サービスの再起動が発生しますので、pacemakerなどOSSのクラスタ製品LifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。


セキュリティ系連載案内

タイトルとURLをコピーしました