関連するCVE

CVE-2016-5542, CVE-2016-5554, CVE-2016-0695, CVE-2016-5597, CVE-2016-5573

情報源

Oracle Critical Patch Update – October 2016

CVE概要(詳細はCVEのサイトをご確認ください)

• CVE-2016-5542

• OpenJDKのライブラリコンポーネントがJARの整合性チェックのアルゴリズムを制限していなかったため、弱いキーやアルゴリズムを使っている場合に攻撃者にJARファイル中のコンテンツを変更される可能性が有ります。

• 重要度 – Moderate

• CVE-2016-5554

• OpenJKDのJMXコンポーネントがclassloaderを扱う際に問題が有り、信頼されていないJavaアプリケーションやアプレットがJavaサンドボックス制限をバイパスする可能性が有ります。

• 重要度 – Moderate

• CVE-2016-5582

• OpenJDKのHotspotコンポーネントが幾つかのケースでSystem.arraycopy()関数の引数チェックを正しく行っていないことがわかりました。これにより、信頼されていなJavaアプリケーションやアプレットがこれを用いて仮想マシンのメモリを破損し、Javaサンドボック制限をバイパスする可能性が有ります。

• 重要度 – Critical

• CVE-2016-5597

• OpenJDKのネットワークコンポーネントがHTTPプロキシ認証を扱う際に問題が見つかりました。これにより、JavaアプリケーションがHTTPSサーバ認証証明書が漏洩してしまう可能性が有ります。

• 重要度 – Moderate

• CVE-2016-5573

• OpenJDKのHotspotコンポーネントがJava Debug Wire Protocol (JDWP) パケットを受け取った際に正しくチェックを行っていないことがわかりました。これにより、攻撃者が外部からJavaプログラムにデバッグコマンドを送信することが出来、情報などを取得される可能性が有ります。

• 重要度 – Important

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

• Debian

• https://security-tracker.debian.org/tracker/CVE-2016-5542

• https://security-tracker.debian.org/tracker/CVE-2016-5554

• https://security-tracker.debian.org/tracker/CVE-2016-5582

• https://security-tracker.debian.org/tracker/CVE-2016-5597

• https://security-tracker.debian.org/tracker/CVE-2016-5573

• Red Hat Enterprise Linux/CentOS

• Red Hat Enterprise Linux 5/CentOS 5

  https://rhn.redhat.com/errata/RHSA-2017-0061.html

• Red Hat Enterprise Linux 6/CentOS 6

  https://rhn.redhat.com/errata/RHSA-2017-0061.html

• Red Hat Enterprise Linux 7/CentOS 7

  https://rhn.redhat.com/errata/RHSA-2017-0061.html

• Oracle Linux

• Oracle Linux 5

  http://linux.oracle.com/errata/ELSA-2017-0061.html

• Oracle Linux 6

  http://linux.oracle.com/errata/ELSA-2017-0061.html

• Oracle Linux 7

  http://linux.oracle.com/errata/ELSA-2017-0061.html

• SUSE

• https://www.suse.com/security/cve/CVE-2016-5542.html

• https://www.suse.com/security/cve/CVE-2016-5554.html

• https://www.suse.com/security/cve/CVE-2016-5582.html

• https://www.suse.com/security/cve/CVE-2016-5597.html

• https://www.suse.com/security/cve/CVE-2016-5573.html

• ubuntu

• http://people.canonical.com/%7Eubuntu-security/cve/2016/CVE-2016-5542.html

• http://people.canonical.com/%7Eubuntu-security/cve/2016/CVE-2016-5554.html

• http://people.canonical.com/%7Eubuntu-security/cve/2016/CVE-2016-5582.html

• http://people.canonical.com/%7Eubuntu-security/cve/2016/CVE-2016-5597.html

• http://people.canonical.com/%7Eubuntu-security/cve/2016/CVE-2016-5573.html

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat Satelliteを使うと管理が便利でしょう。

Red Hat Satelliteを用いた一般的なErattaの適用は、『Red Hat Satellite 6でerrataを適用してみる』を参考にして下さい。

また、javaを使用してサービスを提供している場合には、サービスの再起動が発生しますので、pacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。

[参考]

Oracle Critical Patch Update CVSS V2 Risk Matrices – October 2016

セミナー情報