こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。
10月16日に四半期恒例のOracle Javaの脆弱性(CVE-2019-2949,CVE-2019-2989,CVE-2019-2958,CVE-2019-11068,CVE-2019-2977,CVE-2019-2975,CVE-2019-2999,CVE-2019-2996,CVE-2019-2987,CVE-2019-2962,CVE-2019-2988,CVE-2019-2992,CVE-2019-2964,CVE-2019-2973,CVE-2019-2981,CVE-2019-2978,CVE-2019-2894,CVE-2019-2983,CVE-2019-2933,CVE-2019-2945)が公開されました。今回はこれらのJavaの脆弱性についてまとめてみます。
情報は分かり次第追記・更新します。
[関連リンク(最新5件)]
Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory – Jul 2019)
Oracle Javaの脆弱性(CVE-2019-2699, CVE-2019-2697, CVE-2019-2698, CVE-2019-2602, CVE-2019-2684)
Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory – Jan 2019)
Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory – Oct 2018)
Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory – Jul 2018)
関連するCVE
- CVE-2019-2949
- CVE-2019-2989
- CVE-2019-2958
- CVE-2019-11068
- CVE-2019-2977
- CVE-2019-2975
- CVE-2019-2999
- CVE-2019-2996
- CVE-2019-2987
- CVE-2019-2962
- CVE-2019-2988
- CVE-2019-2992
- CVE-2019-2964
- CVE-2019-2973
- CVE-2019-2981
- CVE-2019-2978
- CVE-2019-2894
- CVE-2019-2983
- CVE-2019-2933
- CVE-2019-2945
情報源
CVE概要(詳細はCVEのサイトをご確認ください)
- CVE-2019-2949
- 影響するバージョン:Java SE: 7u231, 8u221, 11.0.4, 13; Java SE Embedded: 8u221
- サブコンポーネント: Kerberos
- CVSS 3.0 Base Score 6.8
- CVSS Vector: 元情報参照
- CVE-2019-2989
- 影響するバージョン:Java SE: 7u231, 8u221, 11.0.4, 13; Java SE Embedded: 8u221
- サブコンポーネント: Networking
- CVSS 3.0 Base Score 6.8
- CVSS Vector: 元情報参照
- CVE-2019-2958
- 影響するバージョン:Java SE: 7u231, 8u221, 11.0.4, 13; Java SE Embedded: 8u221
- サブコンポーネント: Libraries
- CVSS 3.0 Base Score 5.9
- CVSS Vector: 元情報参照
- CVE-2019-11068
- 影響するバージョン:Java SE: 8u221
- サブコンポーネント: JavaFX (libxslt)
- CVSS 3.0 Base Score 5.6
- CVSS Vector: 元情報参照
- 1.1.33までのlibxsltにはxsltCheckReadとxsltCheckWriteが”-1″の戻り値を受け取ってもアクセスを許可してしまうことがあるという、保護メカニズムの迂回方法が存在します。
- CVE-2019-2977
- 影響するバージョン:Java SE: 11.0.4, 13
- サブコンポーネント: Hotspot
- CVSS 3.0 Base Score 4.8
- CVSS Vector: 元情報参照
- CVE-2019-2975
- 影響するバージョン:Java SE: 8u221, 11.0.4, 13; Java SE Embedded: 8u221
- サブコンポーネント: Scripting
- CVSS 3.0 Base Score 4.8
- CVSS Vector: 元情報参照
- CVE-2019-2999
- 影響するバージョン:Java SE: 7u231, 8u221, 11.0.4, 13
- サブコンポーネント: Javadoc
- CVSS 3.0 Base Score 4.7
- CVSS Vector: 元情報参照
- CVE-2019-2996
- 影響するバージョン:Java SE: 8u221; Java SE Embedded: 8u221
- サブコンポーネント: Deployment
- CVSS 3.0 Base Score 4.2
- CVSS Vector: 元情報参照
- CVE-2019-2987
- 影響するバージョン:Java SE: 11.0.4, 13
- サブコンポーネント: 2D
- CVSS 3.0 Base Score 3.7
- CVSS Vector: 元情報参照
- CVE-2019-2962
- 影響するバージョン:Java SE: 7u231, 8u221, 11.0.4, 13; Java SE Embedded: 8u221
- サブコンポーネント: 2D
- CVSS 3.0 Base Score 3.7
- CVSS Vector: 元情報参照
- CVE-2019-2988
- 影響するバージョン:Java SE: 7u231, 8u221, 11.0.4, 13; Java SE Embedded: 8u221
- サブコンポーネント: 2D
- CVSS 3.0 Base Score 3.7
- CVSS Vector: 元情報参照
- CVE-2019-2992
- 影響するバージョン:Java SE: 7u231, 8u221, 11.0.4, 13; Java SE Embedded: 8u221
- サブコンポーネント: 2D
- CVSS 3.0 Base Score 3.7
- CVSS Vector: 元情報参照
- CVE-2019-2964
- 影響するバージョン:Java SE: 7u231, 8u221, 11.0.4, 13; Java SE Embedded: 8u221
- サブコンポーネント: Concurrency
- CVSS 3.0 Base Score 3.7
- CVSS Vector: 元情報参照
- CVE-2019-2973
- 影響するバージョン:Java SE: 7u231, 8u221, 11.0.4, 13; Java SE Embedded: 8u221
- サブコンポーネント: JAXP
- CVSS 3.0 Base Score 3.7
- CVSS Vector: 元情報参照
- CVE-2019-2981
- 影響するバージョン:Java SE: 7u231, 8u221, 11.0.4, 13; Java SE Embedded: 8u221
- サブコンポーネント: JAXP
- CVSS 3.0 Base Score 3.7
- CVSS Vector: 元情報参照
- CVE-2019-2978
- 影響するバージョン:Java SE: 7u231, 8u221, 11.0.4, 13; Java SE Embedded: 8u221
- サブコンポーネント: Networking
- CVSS 3.0 Base Score 3.7
- CVSS Vector: 元情報参照
- CVE-2019-2894
- 影響するバージョン:Java SE: 7u231, 8u221, 11.0.4, 13; Java SE Embedded: 8u221
- サブコンポーネント: Security
- CVSS 3.0 Base Score 3.7
- CVSS Vector: 元情報参照
- CVE-2019-2983
- 影響するバージョン:Java SE: 7u231, 8u221, 11.0.4, 13; Java SE Embedded: 8u221
- サブコンポーネント: Serialization
- CVSS 3.0 Base Score 3.7
- CVSS Vector: 元情報参照
- CVE-2019-2933
- 影響するバージョン:Java SE: 7u231, 8u221, 11.0.4, 13; Java SE Embedded: 8u221
- サブコンポーネント: Libraries
- CVSS 3.0 Base Score 3.1
- CVSS Vector: 元情報参照
- CVE-2019-2945
- 影響するバージョン:Java SE: 7u231, 8u221, 11.0.4, 13; Java SE Embedded: 8u221
- サブコンポーネント: Networking
- CVSS 3.0 Base Score 3.1
- CVSS Vector: 元情報参照
主なディストリビューションの対応方法
詳細は、各ディストリビューションの提供元にご確認ください
- Debian
- https://security-tracker.debian.org/tracker/CVE-2019-2949
- https://security-tracker.debian.org/tracker/CVE-2019-2989
- https://security-tracker.debian.org/tracker/CVE-2019-2958
- https://security-tracker.debian.org/tracker/CVE-2019-11068
- https://security-tracker.debian.org/tracker/CVE-2019-2977
- https://security-tracker.debian.org/tracker/CVE-2019-2975
- https://security-tracker.debian.org/tracker/CVE-2019-2999
- https://security-tracker.debian.org/tracker/CVE-2019-2996
- https://security-tracker.debian.org/tracker/CVE-2019-2987
- https://security-tracker.debian.org/tracker/CVE-2019-2962
- https://security-tracker.debian.org/tracker/CVE-2019-2988
- https://security-tracker.debian.org/tracker/CVE-2019-2992
- https://security-tracker.debian.org/tracker/CVE-2019-2964
- https://security-tracker.debian.org/tracker/CVE-2019-2973
- https://security-tracker.debian.org/tracker/CVE-2019-2981
- https://security-tracker.debian.org/tracker/CVE-2019-2978
- https://security-tracker.debian.org/tracker/CVE-2019-2894
- https://security-tracker.debian.org/tracker/CVE-2019-2983
- https://security-tracker.debian.org/tracker/CVE-2019-2933
- https://security-tracker.debian.org/tracker/CVE-2019-2945
- Red Hat Enterprise Linux/CentOS
- Oracle Linux
- SUSE/openSUSE
- Ubuntu
対処方法
各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteやKatello、Spacewalk等を使うと管理が便利でしょう。
また、サービスの再起動が発生しますので、peacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。
セキュリティ系連載案内
- OSSセキュリティ技術の会による日経Linuxでの連載「IoT時代の最新SELinux入門」がITPro上で読めるようになりました。技術の会代表で第一人者である中村さん等による、最新のSELinuxの情報やコマンド類等も更新されているのでお薦めです。
- OSSセキュリティ技術の会によるThinkITでの連載「開発者のためのセキュリティ実践講座」がThinkIT上で開始しました。技術の会の中の人間で、最新の代表的なOSSセキュリティ技術を紹介していきます。
- OSSセキュリティ技術の会により、ThinkITでLinuxSecuritySummit 2018のレポートが紹介されています。
- OSSセキュリティ技術の会の面により、@ITで「OSS脆弱性ウォッチ」が連載されています。
- OSSセキュリティ技術の会の面により、@ITで「OpenSCAPで脆弱性対策はどう変わる?」が連載されています。
- OSSセキュリティ技術の会のメンバーにより、@ITで「Berkeley Packet Filter(BPF)入門」が連載されています。
セミナー情報1
2019/10/29(火) 18:30-20:30に「「やってはイケナイ」をやってみよう 第3弾_in 大阪 」と題しましたセミナーを開催します。このセミナーでは、実際に色々な「やってはイケナイ」をデモを交えて行い、実際にどのような問題が発生するのかを確認し、その様な万が一の場合を防ぐために行っておくべき対策を紹介していきます。
また、(ゲリラ的にOSSセキュリティ技術の会の所属としてですが)先日サンディエゴで開催されましたLinux Security Summit 2019の情報共有も行う予定です。
プログラム内容と申し込みの詳細につきましては、https://sios.connpass.com/event/148268/をご覧下さい。
皆様の申込みをお待ちしております。
セミナー情報2
コンピュータセキュリティシンポジウム2019(長崎)が2019年10月21日(月) ~ 10月24日(木)で開催されます。
こちらですが、OSSセキュリティ技術の会も後援になっており、オープンソースソフトウェア(OSS)セキュリティ技術トラック(略称:OWSトラック) も用意しております。
