こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。
1月15日に四半期恒例のOracle Javaの脆弱性(CVE-2020-2604, CVE-2019-16168, CVE-2019-13117, CVE-2019-13118, CVE-2020-2601, CVE-2020-2585, CVE-2020-2655, CVE-2020-2593, CVE-2020-2654, CVE-2020-2590, CVE-2020-2659, CVE-2020-2583)が公開されました。今回はこれらのJavaの脆弱性についてまとめてみます。
情報は分かり次第追記・更新します。
[関連リンク(最新5件)]
Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory – Oct 2019)
Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory – Jul 2019)
Oracle Javaの脆弱性(CVE-2019-2699, CVE-2019-2697, CVE-2019-2698, CVE-2019-2602, CVE-2019-2684)
Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory – Jan 2019)
Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory – Oct 2018)
Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory – Jul 2018)
関連するCVE
- CVE-2020-2604
- CVE-2019-16168
- CVE-2019-13117
- CVE-2019-13118
- CVE-2020-2601
- CVE-2020-2585
- CVE-2020-2655
- CVE-2020-2593
- CVE-2020-2654
- CVE-2020-2590
- CVE-2020-2659
- CVE-2020-2583
情報源
CVE概要(詳細はCVEのサイトをご確認ください)
- CVE-2020-2604
- 影響するバージョン:Java SE: 7u241, 8u231, 11.0.5, 13.0.1; Java SE Embedded: 8u231
- サブコンポーネント: Serialization
- CVSS 3.0 Base Score 8.1
- CVSS Vector: 元情報参照
- 悪用が難しい脆弱性により、認証されていない攻撃者が複数のプロトコル用してネットワークにアクセスし、Oracle GraalVM Enterprise Editionを侵害する可能性があります。 この脆弱性の攻撃を成功させると、Oracle GraalVM Enterprise Editionをのっとることが出来る可能性があります。
- CVE-2019-16168
- 影響するバージョン:Java SE: 8u231
- サブコンポーネント: JavaFX (SQLite)
- CVSS 3.0 Base Score 7.5
- CVSS Vector: 元情報参照
- 3.29.0までのSQLiteでは、sqlite3.c中のwhereLoopAddBtreeIndexが、sqlite_stat1 szフィールドの確認不足のため、ブラウザやその他のアプリケーションをクラッシュさせることができる可能性があります。
- CVE-2019-13117
- 影響するバージョン:Java SE: 8u231
- サブコンポーネント: JavaFX (libxslt)
- CVSS 3.0 Base Score 7.5
- CVSS Vector: 元情報参照
- libxslt 1.1.33のnumbers.cでは、特定のフォーマット文字列を持つxsl:numberにより、xsltNumberFormatInsertNumbersで初期化されていない読み取りが発生する可能性があります。 これにより、攻撃者はスタック上のバイトに文字A、a、I、i、0、またはその他の文字が含まれているかどうかを識別できます。
- CVE-2019-13118
- 影響するバージョン:Java SE: 8u231
- サブコンポーネント: JavaFX (libxslt)
- CVSS 3.0 Base Score 7.5
- CVSS Vector: 元情報参照
- libxslt 1.1.33のnumbers.cでは、xsl:numberのグループ化文字列を保持する型が狭すぎるため、無効な文字/長さの組み合わせがxsltNumberFormatDecimalに渡され、初期化されていないスタックデータが読み取られる可能性があります。
- CVE-2020-2601
- 影響するバージョン:Java SE: 7u241, 8u231, 11.0.5, 13.0.1; Java SE Embedded: 8u231
- サブコンポーネント: Security
- CVSS 3.0 Base Score 6.8
- CVSS Vector: 元情報参照
- 悪用が難しい脆弱性により、Kerberosにネットワークを介してアクセスできることが出来る、認証されていない攻撃者がJava SE, Java SE Embeddedを危殆化する事ができる可能性があります。この脆弱性はJava SE, Java SE Embeddedにありますが、攻撃はその他の製品にも大きな影響を与える可能性があります。この脆弱性の攻撃が成功すると、重要なデータへの不正アクセス、またすべてのJava SE、Java SE Embeddedがアクセス可能なデータへの完全なアクセスが発生する可能性があります。
- CVE-2020-2585
- 影響するバージョン:Java SE: 8u231
- サブコンポーネント: JavaFX
- CVSS 3.0 Base Score 5.9
- CVSS Vector: 元情報参照
- 悪用が難しい脆弱性により、複数のプロトコルでネットワークを介してアクセスできることが出来る、認証されていない攻撃者がJava SEを危殆化する事ができる可能性があります。この脆弱性の攻撃が成功すると、重要なデータまたはすべてのJava SEアクセス可能データへの不正な作成、削除、または変更アクセスが発生する可能性があります。
- CVE-2020-2655
- 影響するバージョン:Java SE: 11.0.5, 13.0.1
- サブコンポーネント: JSSE
- CVSS 3.0 Base Score 4.8
- CVSS Vector: 元情報参照
- 悪用が難しい脆弱性により、HTTPSにネットワークを介してアクセスできることが出来る、認証されていない攻撃者がJava SEを危殆化する事ができる可能性があります。この脆弱性の攻撃が成功すると、重要なデータまたはすべてのJava SEアクセス可能データへの不正な作成、削除、または変更アクセスが発生する可能性があります。
- CVE-2020-2593
- 影響するバージョン:Java SE: 7u241, 8u231, 11.0.5, 13.0.1; Java SE Embedded: 8u231
- サブコンポーネント: Networking
- CVSS 3.0 Base Score 4.8
- CVSS Vector: 元情報参照
- 悪用が難しい脆弱性により、複数のプロトコルでネットワークを介してアクセスできることが出来る、認証されていない攻撃者がJava SEを危殆化する事ができる可能性があります。この脆弱性の攻撃が成功すると、重要なデータまたはすべてのJava SEアクセス可能データへの不正な作成、削除、または変更アクセスが発生する可能性があります。
- CVE-2020-2654
- 影響するバージョン:Java SE: 7u241, 8u231, 11.0.5, 13.0.1
- サブコンポーネント: Libraries
- CVSS 3.0 Base Score 3.7
- CVSS Vector: 元情報参照
- 悪用が難しい脆弱性により、複数のプロトコルでネットワークを介してアクセスできることが出来る、認証されていない攻撃者がJava SEを危殆化する事ができる可能性があります。この脆弱性の攻撃が成功すると、Java SEの部分的なサービス拒否(DoS)を引き起こす事ができる可能性があります。
- CVE-2020-2590
- 影響するバージョン:Java SE: 7u241, 8u231, 11.0.5, 13.0.1; Java SE Embedded: 8u231
- サブコンポーネント: Security
- CVSS 3.0 Base Score 3.7
- CVSS Vector: 元情報参照
- 悪用が難しい脆弱性により、Kerberosにネットワークを介してアクセスできることが出来る、認証されていない攻撃者がJava SE, Java SE Embeddedを危殆化する事ができる可能性があります。この脆弱性が成功すると、Java SE, Java SE Embeddedがアクセス可能なデータの一部に対して不正な更新・挿入・削除のアクセスが行われる可能性が有ります。
- CVE-2020-2659
- 影響するバージョン:Java SE: 7u241, 8u231; Java SE Embedded: 8u231
- サブコンポーネント: Networking
- CVSS 3.0 Base Score 3.7
- CVSS Vector: 元情報参照
- 悪用が難しい脆弱性により、複数のプロトコルでネットワークを介してアクセスできることが出来る、認証されていない攻撃者がJava SEを危殆化する事ができる可能性があります。この脆弱性の攻撃が成功すると、Java SEの部分的なサービス拒否(DoS)を引き起こす事ができる可能性があります。
- CVE-2020-2583
- 影響するバージョン:Java SE: 7u241, 8u231, 11.0.5, 13.0.1; Java SE Embedded: 8u231
- サブコンポーネント: Serialization
- CVSS 3.0 Base Score 3.7
- CVSS Vector: 元情報参照
- 悪用が難しい脆弱性により、複数のプロトコルでネットワークを介してアクセスできることが出来る、認証されていない攻撃者がJava SEを危殆化する事ができる可能性があります。この脆弱性の攻撃が成功すると、Java SEの部分的なサービス拒否(DoS)を引き起こす事ができる可能性があります。
主なディストリビューションの対応方法
詳細は、各ディストリビューションの提供元にご確認ください
- Debian
- https://security-tracker.debian.org/tracker/CVE-2020-2604
- https://security-tracker.debian.org/tracker/CVE-2019-16168
- https://security-tracker.debian.org/tracker/CVE-2019-13117
- https://security-tracker.debian.org/tracker/CVE-2019-13118
- https://security-tracker.debian.org/tracker/CVE-2020-2601
- https://security-tracker.debian.org/tracker/CVE-2020-2585
- https://security-tracker.debian.org/tracker/CVE-2020-2655
- https://security-tracker.debian.org/tracker/CVE-2020-2593
- https://security-tracker.debian.org/tracker/CVE-2020-2654
- https://security-tracker.debian.org/tracker/CVE-2020-2590
- https://security-tracker.debian.org/tracker/CVE-2020-2659
- https://security-tracker.debian.org/tracker/CVE-2020-2583
- Red Hat Enterprise Linux/CentOS
- https://access.redhat.com/security/cve/CVE-2020-2604
- https://access.redhat.com/security/cve/CVE-2019-16168
- https://access.redhat.com/security/cve/CVE-2019-13117
- https://access.redhat.com/security/cve/CVE-2019-13118
- https://access.redhat.com/security/cve/CVE-2020-2601
- https://access.redhat.com/security/cve/CVE-2020-2585
- https://access.redhat.com/security/cve/CVE-2020-2655
- https://access.redhat.com/security/cve/CVE-2020-2593
- https://access.redhat.com/security/cve/CVE-2020-2654
- https://access.redhat.com/security/cve/CVE-2020-2590
- https://access.redhat.com/security/cve/CVE-2020-2659
- https://access.redhat.com/security/cve/CVE-2020-2583
- Oracle Linux
- SUSE/openSUSE
- https://www.suse.com/security/cve/CVE-2020-2604.html
- https://www.suse.com/security/cve/CVE-2019-16168.html
- https://www.suse.com/security/cve/CVE-2019-13117.html
- https://www.suse.com/security/cve/CVE-2019-13118.html
- https://www.suse.com/security/cve/CVE-2020-2601.html
- https://www.suse.com/security/cve/CVE-2020-2585.html
- https://www.suse.com/security/cve/CVE-2020-2655.html
- https://www.suse.com/security/cve/CVE-2020-2593.html
- https://www.suse.com/security/cve/CVE-2020-2654.html
- https://www.suse.com/security/cve/CVE-2020-2590.html
- https://www.suse.com/security/cve/CVE-2020-2659.html
- https://www.suse.com/security/cve/CVE-2020-2583.html
- Ubuntu
- http://people.canonical.com/~ubuntu-security/cve/2020/CVE-2020-2604
- http://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-16168
- http://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-13117
- http://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-13118
- http://people.canonical.com/~ubuntu-security/cve/2020/CVE-2020-2601
- http://people.canonical.com/~ubuntu-security/cve/2020/CVE-2020-2585
- http://people.canonical.com/~ubuntu-security/cve/2020/CVE-2020-2655
- http://people.canonical.com/~ubuntu-security/cve/2020/CVE-2020-2593
- http://people.canonical.com/~ubuntu-security/cve/2020/CVE-2020-2654
- http://people.canonical.com/~ubuntu-security/cve/2020/CVE-2020-2590
- http://people.canonical.com/~ubuntu-security/cve/2020/CVE-2020-2659
- http://people.canonical.com/~ubuntu-security/cve/2020/CVE-2020-2583
対処方法
各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteやKatello、Spacewalk等を使うと管理が便利でしょう。
また、サービスの再起動が発生しますので、peacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。
セキュリティ系連載案内
- OSSセキュリティ技術の会による日経Linuxでの連載「IoT時代の最新SELinux入門」がITPro上で読めるようになりました。技術の会代表で第一人者である中村さん等による、最新のSELinuxの情報やコマンド類等も更新されているのでお薦めです。
- OSSセキュリティ技術の会によるThinkITでの連載「開発者のためのセキュリティ実践講座」がThinkIT上で開始しました。技術の会の中の人間で、最新の代表的なOSSセキュリティ技術を紹介していきます。
- OSSセキュリティ技術の会により、ThinkITでLinuxSecuritySummit 2018のレポートが紹介されています。
- OSSセキュリティ技術の会の面により、@ITで「OSS脆弱性ウォッチ」が連載されています。
- OSSセキュリティ技術の会の面により、@ITで「OpenSCAPで脆弱性対策はどう変わる?」が連載されています。
- OSSセキュリティ技術の会のメンバーにより、@ITで「Berkeley Packet Filter(BPF)入門」が連載されています。
