Oracle Javaの脆弱性(CVE-2016-0636) — | サイオスOSS | サイオステクノロジー

OSS脆弱性ブログ

2016.03.252023.04.06

Oracle Javaの脆弱性(CVE-2016-0636)

Oracle JavaのCriticalな脆弱性が公開されていますので、各ディストリビューションの対応状況をまとめます。

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

3月24日にOracle Javaの脆弱性が公開されています。影響範囲も大きくCriticalなものになるため、今回はこのJavaの脆弱性についてまとめてみます。

関連するCVE

CVE-2016-0636

Priority

Moderate

影響するバージョン

JAVA SE 7 Update97/JAVA SE 8 Update74 より前の全てのバージョン

CVE概要(詳細はCVEのサイトをご確認ください)

悪意のあるサイトにアクセスした際に任意のコードが実行される可能性
重要度 – Critical
JAVAが有効になっているWebブラウザで悪意のあるサイトを開いた際に、リモートからの攻撃で任意のコードが実行される可能性があります。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

debian

https://security-tracker.debian.org/tracker/CVE-2016-0636

Red Hat Enterprise Linux/CentOS

Red Hat Enterprise Linux 5/CentOS 5
https://rhn.redhat.com/errata/RHSA-2016-0512.html
Red Hat Enterprise Linux 6/CentOS 6
https://rhn.redhat.com/errata/RHSA-2016-0514.html
Red Hat Enterprise Linux 7/CentOS 7
https://rhn.redhat.com/errata/RHSA-2016-0513.html

Oracle Linux

Oracle Linux 5
http://linux.oracle.com/errata/ELSA-2016-0512.html
Oracle Linux 6
http://linux.oracle.com/errata/ELSA-2016-0511.html
Oracle Linux 7
http://linux.oracle.com/errata/ELSA-2016-0513.html

OpenSUSE

https://bugzilla.novell.com/show_bug.cgi?id=CVE-2016-0636

ubuntu

http://people.canonical.com/%7Eubuntu-security/cve/2016/CVE-2016-0636.html

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat Satelliteを使うと管理が便利でしょう。

また、javaを使用してサービスを提供している場合には、サービスの再起動が発生しますので、pacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。

[参考]

http://seclists.org/fulldisclosure/2016/Mar/31

Oracle Java SE の脆弱性 (CVE-2016-0636) に関する注意喚起

—–

タイトルとURLをコピーしました