Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory – July 2017)
こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。
7月18日に四半期恒例のOracle Javaの脆弱性が公開されました。今回はこのJavaの脆弱性についてまとめてみます。
CVE概要(詳細はCVEのサイトをご確認ください)
-
JPEGImageReaderでの未処理の画像読み込み問題
-
重要度 – Low
-
JAR検証での、ダイジェストが失われている場合の不正な処理
-
重要度 – Important
-
範囲チェックループの整数オーバーフロー
-
重要度 – Critical
-
Java APIへのアクセスの不完全なブロック
-
重要度 – Important
-
署名処理関数での不正なブラケットの処理
-
重要度 – Moderate
-
7u151と8u141で修正された未公開の脆弱性
-
重要度 – Critical
-
ThreadPoolExecutorでの不充分なアクセス制御チェック
-
重要度 – Critical
-
ServiceRegistryでの不充分なアクセス制御チェック
-
重要度 – Critical
-
AsynchronousChannelGrouplmplでの不充分なアクセス制御チェック
-
重要度 – Critical
-
XML変換での不充分なアクセス制御チェック
-
重要度 – Critical
-
com.sun.org.apache.xml.internal.resolverへの制限されていないアクセス
-
重要度 – Critical
-
DGCの不正な参照処理
-
重要度 – Critical
-
Oracle Java Advanced Management Consoleのリモート脆弱性
-
6u161,7u151,8u141で修正された非公開の脆弱性
-
重要度 – Moderate
-
ActivationIDでの不充分なアクセス制御チェック
-
重要度 – Critical
-
BasicAttributeデシリアライゼーションでの制限されていないメモリ割当
-
重要度 – Moderate
-
CodeSourceデシリアライゼーションでの制限されていないメモリ割当
-
重要度 – Moderate
-
ImageWatchedでの不充分なアクセス制御チェック
-
重要度 – Critical
-
LambdaFormEditorでの不正な範囲チェック
-
重要度 – Critical
-
7u151,8u141で修正された非公開の脆弱性
-
重要度 – Moderate
-
DSA実装でのタイミング攻撃
-
重要度 – Moderate
-
LDAPCertStoreの非LDAP URLへの参照
-
重要度 – Moderate
-
Oracle Java Advanced Management Consoleのリモート脆弱性
-
ECDSA実装でのタイミング攻撃
-
重要度 – Moderate
-
Oracle Java Advanced Management Consoleのリモート脆弱性
-
7u151,8u141で修正された非公開の脆弱性
-
重要度 – Important
-
PKCS#8 実装でのタイミング攻撃
-
重要度 – Low
Oracle Java Advanced Management Consoleのリモート脆弱性
- CVE-2017-10176
-
ECポイントの不正確なハンドリング
-
重要度 – Moderate
- CVE-2017-10193
-
キーサイズの不正確な制限チェック
-
重要度 – Low
- CVE-2017-10198
-
認証パス制限の不正確な強制
-
重要度 – Moderate
- CVE-2017-10243
-
6u161,7u151,8u141で修正された非公開の脆弱性
-
重要度 – Moderate
主なディストリビューションの対応方法
詳細は、各ディストリビューションの提供元にご確認ください
-
Debian
-
Red Hat Enterprise Linux/CentOS
-
Oracle Linux
-
SUSE
-
Ubuntu
-
http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-10053
-
http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-10067
-
http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-10074
-
http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-10078
-
http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-10081
-
http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-10086
-
http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-10087
-
http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-10089
-
http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-10090
-
http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-10096
-
http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-10101
-
http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-10102
-
http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-10104
-
http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-10105
-
http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-10107
-
http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-10108
-
http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-10109
-
http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-10110
-
http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-10111
-
http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-10114
-
http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-10115
-
http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-10116
-
http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-10117
-
http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-10118
-
http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-10121
-
http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-10125
-
http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-10135
-
http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-10145
-
http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-10176
-
http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-10193
-
http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-10198
-
http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-10243
対処方法
各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat Satelliteを使うと管理が便利でしょう。
また、javaを使用してサービスを提供している場合には、サービスの再起動が発生しますので、pacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。
講演内容募集案内
2017年10月21日-22日まで開催されるopenSUSE.Asia Summit 2017 Tokyoの講演内容募集(CFP)が始まりました。
https://news.opensuse.org/2017/07/07/opensuse-asia-summit-2017-tokyo-call-for-proposals-is-open/
講演募集の締切は8/14(月)で、日本語でも講演は可能です。
セキュリティに関してのトピックは
-
FLOSS Security
-
Access/Integrity control (e.g., AppArmor, IMA, Audit)
-
Cryptography
-
Vulnerability management
となってます。御応募を是非お願い致します。
セミナー情報
7/27(水)に「OSSセキュリティナイターvol.6」と題して、セキュリティのセミナーを行います。この回では、『SELinuxの現状とLinuxセキュリティ』と題してSELinuxの最新動向から実際の効果を、デモを交えて説明致します。
今回も、前回に引き続き、ゲスト講師をお招きし講演をいただきます。
https://connpass.com/event/61395/がプログラム内容と申し込みの詳細になりますので、是非お申し込み下さい。