Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory – Oct 2017)
)が公開されました。今回はこのJavaの脆弱性についてまとめてみます。
こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。
10月19日に四半期恒例のOracle Javaの脆弱性(CVE-2016-10165 , CVE-2016-9841 , CVE-2017-10274 , CVE-2017-10281 , CVE-2017-10285 , CVE-2017-10293 , CVE-2017-10295 , CVE-2017-10309 , CVE-2017-10341 , CVE-2017-10342 , CVE-2017-10345 , CVE-2017-10346 , CVE-2017-10347 , CVE-2017-10348 , CVE-2017-10349 , CVE-2017-10350 , CVE-2017-10355 , CVE-2017-10356 , CVE-2017-10357 , CVE-2017-10380 , CVE-2017-10386 , CVE-2017-10388 )が公開されました。今回はこのJavaの脆弱性についてまとめてみます。
CVE概要(詳細はCVEのサイトをご確認ください)
重要度 – Moderate
Little CMS (lcms2)のcmstypes.c中のType_MLU_Read()関数がリモートの攻撃者に重要な情報取得を許可してしまったり、領域外のヒープ読み込みをトリガーするような、細工されたICCプロファイル付きのイメージを通してDoSを引き起こすことが可能です。
重要度 – Low
zlib 1.2.8のinffast.cにより、コンテキストに依存して攻撃者が不適切なポインタ計算を使うことで、不特定の影響を与える可能性が有ります。
重要度 – Important
影響するバージョン:Java SE: 6u161, 7u151, 8u144, 9
脆弱性を悪用するのが難しいですが、ネットワークを介してアクセスした認証されていない攻撃者により、クリティカルなデータやJava SEのアクセスできるデータに対しての不正な作成・削除・変更のアクセスが可能になります。注意:この脆弱性は通常、サンドボックス化されたJava Web Startアプリケーションや、サンドボックス化されたJavaアプレットを実行しているクライアントで、信頼できない(インターネットからなどの)コードをロードして実行して展開する際に適用されます。一般にサーバーで、Javaが信頼できるコード(管理者がインストールしたコードな>ど)のみを展開してロードし、実行するような場合には適用されません。
重要度 – Moderate
影響するバージョン:Java SE: 6u161, 7u151, 8u144 and 9; Java SE Embedded: 8u144; JRockit: R28.3.15
簡単に悪用可能な脆弱性により、複数のプロトコルを通じてアクセスしてきた攻撃者がJava SE, Java SE Embedded, JRockitを侵害する可能性が有ります。この攻撃が成功すると、 Java SE, Java SE Embedded, JRockitに部分的なDoSを引き起こすことが可能です。注意:この脆弱性はサンドボックス化されたJava Web Startアプリケーションと、サンドボックス化されたJavaアプレットによって悪用される可能性が有ります。また、これらを使用せずに、指定されたコンポーネントのAPIにデータを渡すことで悪用することも可能です。
重要度 – Critical
影響するバージョン:Java SE:6u161,7u151,8u144, 9; Java SE Embedded:8u144
簡単に悪用可能な脆弱性により、複数のプロトコルを通じてアクセスしてきた攻撃者がJava SE, Java SE Embeddedを危険に晒す可能性が有ります。攻撃者以外の人間との対話が必要になります。この攻撃が成功すると、 Java SE, Java SE Embeddedに引き継がれます。注意:この脆弱性は通常、サンドボックス化されたJava Web Startアプリケーションや、サンドボックス化されたJavaアプレットを実行しているクライアントで、信頼できない(インターネットからなどの)コードをロードして実行して展開する際に適用されます。一般にサーバーで、Javaが信頼できるコード(管理者がインストールしたコードなど)のみを展開してロードし、実行するような場合には適用されません。
重要度 – Moderate
影響するバージョン:Java SE:6u161,7u151,8u144, 9
簡単に悪用可能な脆弱性により、認証されていない攻撃者がHTTPを通じてアクセスしJava SEを危険に晒す可能性が有ります。攻撃者以外の人間との対話が必要になります。Java SEのアクセスできるデータに対しての不正な作成・削除・変更のアクセスが可能になります。注意:この脆弱性は通常、サンドボックス化されたJava Web Startアプリケーションや、サンドボックス化されたJavaアプレットを実行しているクライアントで、信頼できない(インターネットからなどの)コードをロードして実行して展開する際に適用されます。一般にサーバーで、Javaが信頼できるコード(管理者がインストールしたコードな>ど)のみを展開してロードし、実行するような場合には適用されません。
重要度 – Moderate
影響するバージョン:Java SE: 6u161, 7u151, 8u144 and 9; Java SE Embedded: 8u144; JRockit: R28.3.15
悪用することが難しい脆弱性ですが、認証されていない攻撃者がHTTPを通じてアクセスしJava SE、Java SE Embedded、JRockitを侵害する可能性が有ります。この脆弱性はJava SE、Java SE Embedded、JRockitで発生しますが、追加製品にも大きな影響を与える可能性があります。注意:この脆弱性はサンドボックス化されたJava Web Startアプリケーションと、サンドボックス化されたJavaアプレットによって悪用される可能性が有ります。また、これらを使用せずに、指定されたコンポーネントのAPIにデータを渡すことで悪用することも可能です。
重要度 – Important
影響するバージョン:Java SE: 8u144, 9
Oracle Java SEのJava SEコンポーネントの脆弱性です。簡単に悪用可能な脆弱性により、認証されていない攻撃者が複数のプロトコルを通じてアクセスしJava SEを危険に晒す可能性が有ります。攻撃者以外の人間との対話が必要になります。Java SEのアクセスできるデータに対しての不正な作成・削除・変更のアクセスや、DoSが可能になります。注意:この脆弱性は通常、サンドボックス化されたJava Web Startアプリケーションや、サンドボックス化されたJavaアプレットを実行しているクライアントで、信頼できない(インターネットからなどの)コードをロードして実行して展開する際に適用されます。一般にサーバーで、Javaが信頼できるコード(管理者がインストールしたコードなど)のみを展開してロードし、実行するような場合には適用されません。
Not for OSS/Java Advanced Management Console
影響するバージョン:Java Advanced Management Console 2.7
Java Advanced Management Consoleの脆弱性です。この脆弱性を利用して、攻撃者はJava Advanced Management Consoleがアクセスできるデータに対してinsert/deleteが可能です。
Not for OSS/Java Advanced Management Console
影響するバージョン:Java Advanced Management Console 2.7
Java Advanced Management Consoleの脆弱性です。この脆弱性を利用して、攻撃者はJava Advanced Management Consoleに対してDoSを引き起こすことがが可能です。
重要度 – Low
影響するバージョン:Java SE: 6u161, 7u151, 8u144 and 9; Java SE Embedded: 8u144; JRockit: R28.3.15
悪用することが難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを通じてアクセスしJava SE、Java SE Embedded、JRockitを侵害する可能性が有ります。この脆弱性を利用して、攻撃者はJava SE、Java SE Embedded、JRockitにDoSを引き起こすことが可能性です。注意:この脆弱性はサンドボックス化されたJava Web Startアプリケーションと、サンドボックス化されたJavaアプレットによって悪用される可能性が有ります。また、これらを使用せずに、指定されたコンポーネントのAPIにデータを渡すことで悪用することも可能です。
重要度 – Critical
影響するバージョン:Java SE: 6u161, 7u151, 8u144 and 9; Java SE Embedded: 8u144
簡単に悪用可能な脆弱性により、認証されていない攻撃者が複数のプロトコルを通じてアクセスしJava SE, Java SE Embedded を危険に晒す可能性が有ります。攻撃者以外の人間との対話が必要になります。追加製品にも大きな影響を与える可能性があります。注意:この脆弱性は通常、サンドボックス化されたJava Web Startアプリケーションや、サンドボックス化されたJavaアプレットを実行しているクライアントで、信頼できない(インターネットからなどの)コードをロードして実行して展開する際に適用されます。一般にサーバーで、Javaが信頼できるコード(管理者がインストールしたコードなど)のみを展開してロードし、実行するような場合には適用されません。
重要度 – Moderate
影響するバージョン:Java SE: 6u161, 7u151, 8u144 and 9; JRockit: R28.3.15
簡単に悪用可能な脆弱性により、認証されていない攻撃者が複数のプロトコルを通じてアクセスしJava SE, JRockitを侵害する可能性が有ります。この脆弱性により、Jrockit, JavaSEにたいして 部分的なDoSを引き起こすことが可能です。注意:この脆弱性は通常、サンドボックス化されたJava Web Startアプリケーションや、サンドボックス化されたJavaアプレットを実行しているクライアントで、信頼できない(インターネットからなどの)コードをロードして実行して展開する際に適用されます。一般にサーバーで、Javaが信頼できるコード(管理者がインストールしたコードなど)のみを展開してロードし、実行するような場合には適用されません。
重要度 – Moderate
影響するバージョン:Java SE: 6u161, 7u151, 8u144 and 9; JRockit: R28.3.15
簡単に悪用可能な脆弱性により、認証されていない攻撃者が複数のプロトコルを通じてアクセスしJava SE, JRockitを侵害する可能性が有ります。この脆弱性により、JavaSE Embeddedにたいして 部分的なDoSを引き起こすことが可能です。注意:この脆弱性は通常、サンドボックス化されたJava Web Startアプリケーションや、サンドボックス化されたJavaアプレットを実行しているクライアントで、信頼できない(インターネットからなどの)コードをロードして実行して展開する際に適用されます。一般にサーバーで、Javaが信頼できるコード(管理者がインストールしたコードなど)のみを展開してロードし、実行するような場合には適用されません。
重要度 – Moderate
影響するバージョン:Java SE: 6u161, 7u151, 8u144 and 9; Java SE Embedded: 8u144
簡単に悪用可能な脆弱性により、認証されていない攻撃者が複数のプロトコルを通じてアクセスしJava SE, JRockitを侵害する可能性が有ります。この脆弱性により、JavaSE Embeddedにたいして 部分的なDoSを引き起こすことが可能です。注意:この脆弱性は通常、サンドボックス化されたJava Web Startアプリケーションや、サンドボックス化されたJavaアプレットを実行しているクライアントで、信頼できない(インターネットからなどの)コードをロードして実行して展開する際に適用されます。一般にサーバーで、Javaが信頼できるコード(管理者がインストールしたコードなど)のみを展開してロードし、実行するような場合には適用されません。
重要度 – Moderate
影響するバージョン:Java SE: 7u151, 8u144 and 9; Java SE Embedded: 8u144
簡単に悪用可能な脆弱性により、認証されていない攻撃者が複数のプロトコルを通じてアクセスしJava SE, Java SE Embeddedを危険に晒す可能性が有ります。この脆弱性により、JavaSE Embeddedにたいして 部分的なDoSを引き起こすことが可能です。注意:この脆弱性は通常、サンドボックス化されたJava Web Startアプリケーションや、サンドボックス化されたJavaアプレットを実行しているクライアントで、信頼できない(インターネットからなどの)コードをロードして実行して展開する際に適用されます。一般にサーバーで、Javaが信頼できるコード(管理者がインストールしたコードなど)のみを展開してロードし、実行するような場合には適用されません。
重要度 – Moderate
影響するバージョン:Java SE: 6u161, 7u151, 8u144 and 9; Java SE Embedded: 8u144 JRockit: R28.3.15
簡単に悪用可能な脆弱性により、認証されていない攻撃者が複数のプロトコルを通じてアクセスしJava SE, Java SE Embeddedを危険に晒す可能性が有ります。この脆弱性により、Java SE, JavaSE Embedded, JRockitにたいして部分的なDoSを引き起こすことが可能です。注意:この脆弱性はサンドボックス化されたJava Web Startアプリケーションと、サンドボックス化されたJavaアプレットによって悪用される可能性が有ります。また、これらを使用せずに、指定されたコンポーネントのAPIにデータを渡すことで悪用することも可能です。
重要度 – Moderate
影響するバージョン:Java SE: 6u161, 7u151, 8u144 and 9; Java SE Embedded: 8u144JRockit: R28.3.15
簡単に悪用可能な脆弱性により、認証されていない攻撃者がJava SE, Java SE Embedded, JRcockitのセキュリティを侵害するためにログインできます。この脆弱性により、Java SE, JavaSE Embedded, JRockitがアクセスできる全てのデータに完全にアクセスが可能です。注意:この脆弱性はサンドボックス化されたJava Web Startアプリケーションと、サンドボックス化されたJavaアプレットによって悪用される可能性が有ります。また、これらを使用せずに、指定されたコンポーネントのAPIにデータを渡すことで悪用することも可能です。
重要度 – Moderate
影響するバージョン:Java SE: 6u161, 7u151, 8u144 and 9; Java SE Embedded: 8u144
簡単に悪用可能な脆弱性により、認証されていない攻撃者が複数のプロトコルを通じてアクセスしJava SE, Java SE Embeddedを危険に晒す可能性が有ります。この脆弱性により、Java SE, JavaSE Embeddedにたいして部分的なDoSを引き起こすことが可能です。注意:この脆弱性は通常、サンドボックス化されたJava Web Startアプリケーションや、サンドボックス化されたJavaアプレットを実行しているクライアントで、信頼できない(インターネットからなどの)コードをロードして実行して展開する際に適用されます。一般にサーバーで、Javaが信頼できるコード(管理者がインストールしたコードなど)のみを展開してロードし、実行するような場合には適用されません。
Not for OSS/Java Advanced Management Console
影響するバージョン:Java Advanced Management Console 2.7
Java Advanced Management Consoleの脆弱性です。この脆弱性を利用して、攻撃者はJava Advanced Management Consoleがアクセスできるデータに対してupdate/insert/deleteが可能です。
Not for OSS/Java Advanced Management Console
影響するバージョン:Java Advanced Management Console 2.7
Java Advanced Management Consoleの脆弱性です。この脆弱性を利用して、攻撃者はJava Advanced Management Consoleがアクセスできるデータに対してupdate/insert/deleteが可能です。
重要度 – Important
影響するバージョン:Java SE: 6u161, 7u151, 8u144 and 9; Java SE Embedded: 8u144
悪用することが難しい脆弱性ですが、認証されていない攻撃者がKerberosを通じてアクセスしJava SE、Java SE Embedded、JRockitを侵害する可能性が有ります。攻撃者以外の人間との対話が必要になります。この脆弱性はJava SE、Java SE Embeddedで発生します。注意:Java SE Kerberosクライアントに適用されます。
主なディストリビューションの対応方法
詳細は、各ディストリビューションの提供元にご確認ください
Debian
Red Hat Enterprise Linux/CentOS
Oracle Linux
SUSE
Ubuntu
http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2016-10165
http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2016-9841
http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-10274
http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-10281
http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-10285
http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-10293
http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-10295
http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-10309
http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-10345
http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-10346
http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-10347
http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-10348
http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-10349
http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-10350
http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-10355
http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-10356
http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-10357
http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-10388
対処方法
各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat Satelliteを使うと管理が便利でしょう。
また、javaを使用してサービスを提供している場合には、サービスの再起動が発生しますので、pacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。
[参考]
Oracle Critical Patch Update Advisory – Oct 2017
セキュリティ系連載案内
OSSセキュリティ技術の会による日経Linuxでの連載「IoT時代の最新SELinux入門」がITPro上で読めるようになりました。技術の会代表で第一人者である中村さん等による、最新のSELinuxの情報やコマンド類等も更新されているのでお薦めです。
OSSセキュリティ技術の会によるThinkITでの連載「開発者のためのセキュリティ実践講座」がThinkIT上で開始しました。技術の会の中の人間で、最新の代表的なOSSセキュリティ技術を紹介していきます。
OSSセキュリティ技術の会により、ThinkITでLinuxSecuritySummit 2017のレポートが紹介されています。
セミナー情報
2017/11/29 19:00に、OSSセキュリティ技術の会 第二回勉強会を行います。
今回のテーマは新世代のOSS認証基盤です。
https://connpass.com/event/69314/がプログラム内容と申し込みの詳細になります。奮ってご参加下さい。