Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory – Apr 2020)

2020.04.15

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

4月15日に四半期恒例のOracle Javaの脆弱性(CVE-2020-2803 CVE-2020-2805 CVE-2019-18197 CVE-2020-2816 CVE-2020-2781 CVE-2020-2830 CVE-2020-2767 CVE-2020-2800 CVE-2020-2778 CVE-2020-2764 CVE-2020-2754 CVE-2020-2755 CVE-2020-2773 CVE-2020-2756 CVE-2020-2757)が公開されました。今回はこれらのJavaの脆弱性についてまとめてみます。

情報は分かり次第追記・更新します。

CVE概要(詳細はCVEのサイトをご確認ください)

  • CVE-2020-2803
    • 影響するバージョン:Java SE: 7u251, 8u241, 11.0.6, 14; Java SE Embedded: 8u241
    • サブコンポーネント: Libraries
    • CVSS 3.0 Base Score 8.3
    • CVSS Vector: 元情報参照
    • java.nioバッファクラスでの境界確認に問題があり、幾つかのケースではバイパスしてしまうことがあります。この脆弱性は信頼できないJavaアプリケーションやアプレットにJava サンドボックスの迂回を許可してしまいます。
  • CVE-2020-2805
    • 影響するバージョン:Java SE: 7u251, 8u241, 11.0.6, 14; Java SE Embedded: 8u241
    • サブコンポーネント: Libraries
    • CVSS 3.0 Base Score 8.3
    • CVSS Vector: 元情報参照
    • MethodType.readObject()に不正なタイプチェックがあります。
  • CVE-2019-18197
    • 影響するバージョン:Java SE: 8u241
    • サブコンポーネント: JavaFX (libxslt)
    • CVSS 3.0 Base Score 8.1
    • CVSS Vector: 元情報参照
    • libxslt 1.1.33のtransform.c中のxsltCopyTect()には、幾つかの環境ではポインタ値が確実にリセットされていませんでした。関連されたメモリエリアが偶々特定の方法で解放及び再利用された場合、境界チェックの失敗によりバッファの外側のメモリへの書き込みや、初期化されていないデータが開示される可能性があります。
  • CVE-2020-2816
    • 影響するバージョン:Java SE: 11.0.6, 14
    • サブコンポーネント: JSSE
    • CVSS 3.0 Base Score 7.5
    • CVSS Vector: 元情報参照
    • JSSEコンポーネントのTLS/SSL実装に脆弱性があり、ハンドシェイクが完了する前に受け取ったデータパケットをアプリケーションが適切に扱っていませんでした。
  • CVE-2020-2781
    • 影響するバージョン:Java SE: 7u251, 8u241, 11.0.6, 14; Java SE Embedded: 8u241
    • サブコンポーネント: JSSE
    • CVSS 3.0 Base Score 5.3
    • CVSS Vector: 元情報参照
    • TLSセッションを新しい接続の際に再使用している際の問題です。
  • CVE-2020-2830
    • 影響するバージョン:Java SE: 7u251, 8u241, 11.0.6, 14; Java SE Embedded: 8u241
    • サブコンポーネント: Concurrency
    • CVSS 3.0 Base Score 5.3
    • CVSS Vector: 元情報参照
    • スキャナに対する正規表現によりDoSが発生します。
  • CVE-2020-2767
    • 影響するバージョン:Java SE: 11.0.6, 14
    • サブコンポーネント: JSSE
    • CVSS 3.0 Base Score 4.8
    • CVSS Vector: 元情報参照
    • TLSハンドシェイク中の証明書の扱いに不備がありました。
  • CVE-2020-2800
    • 影響するバージョン:Java SE: 7u251, 8u241, 11.0.6, 14; Java SE Embedded: 8u241
    • サブコンポーネント: Lightweight HTTP Server
    • CVSS 3.0 Base Score 4.8
    • CVSS Vector: 元情報参照
    • HttpServerのHTTPヘッダにCRLFインジェクションの問題があります。
  • CVE-2020-2778
    • 影響するバージョン:Java SE: 11.0.6, 14
    • サブコンポーネント: JSSE
    • CVSS 3.0 Base Score 3.7
    • CVSS Vector: 元情報参照
    • TLSのアルゴリズム制限を完全に強制させてない不備がありました。
  • CVE-2020-2764
    • 影響するバージョン:Java Advanced Management Console: 2.16
    • サブコンポーネント: Advanced Management Console
    • CVSS 3.0 Base Score 3.7
    • CVSS Vector: 元情報参照
    • 情報は詳細が分かり次第更新します。
  • CVE-2020-2754
    • 影響するバージョン:Java SE: 8u241, 11.0.6, 14; Java SE Embedded: 8u241
    • サブコンポーネント: Scripting
    • CVSS 3.0 Base Score 3.7
    • CVSS Vector: 元情報参照
    • RegRexpScanner中での正規表現の文法チェックに不備がありました。
  • CVE-2020-2755
    • 影響するバージョン:Java SE: 8u241, 11.0.6, 14; Java SE Embedded: 8u241
    • サブコンポーネント: Scripting
    • CVSS 3.0 Base Score 3.7
    • CVSS Vector: 元情報参照
    • 正規表現Parser中の空文字列ノードの扱いに不備がありました。
  • CVE-2020-2773
    • 影響するバージョン:Java SE: 7u251, 8u241, 11.0.6, 14; Java SE Embedded: 8u241
    • サブコンポーネント: Security
    • CVSS 3.0 Base Score 3.7
    • CVSS Vector: 元情報参照
    • DOMKeyInfoFactory と DOMXMLSignatureFactoryを引き起こす例外が発生することがありました。
  • CVE-2020-2756
    • 影響するバージョン:Java SE: 7u251, 8u241, 11.0.6, 14; Java SE Embedded: 8u241
    • サブコンポーネント: Serialization
    • CVSS 3.0 Base Score 3.7
    • CVSS Vector: 元情報参照
    • デシリアライズ中の初期化されていないクラスディスクリプタへの参照を扱う際に不備がありました。
  • CVE-2020-2757
    • 影響するバージョン:Java SE: 7u251, 8u241, 11.0.6, 14; Java SE Embedded: 8u241
    • サブコンポーネント: Serialization
    • CVSS 3.0 Base Score 3.7
    • CVSS Vector: 元情報参照
    • ObjectStreamClass中の予期しないInstantiationError例外が見つかりました。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteKatello、Spacewalk等を使うと管理が便利でしょう。

また、サービスの再起動が発生しますので、peacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。

セキュリティ系連載案内

タイトルとURLをコピーしました