セキュリティ勧告: (CVE-2009-1006)
概要: JRockitの複数のセキュリティ脆弱性
影響を受ける製品: WebLogic Server
Oracleでは、潜在的なセキュリティの問題を最も緊急度の高い問題として取り扱い、お客様のすべての資産のセキュリティを確保するために可能な限りの措置を講じます。結果として、弊社では以下の対処策を強く提案します。
I. 以下の勧告に目を通します。
II. 対処方法を適用します。
III. 今後のセキュリティ勧告に関心をお持ちのユーザをご存知の場合は、この勧告に含まれる登録に関する手順をぜひ転送してください。
I. 勧告
Sun Microsystemsは、2008年12月にセキュリティの警告をリリースしました。この勧告CVE-2009-1006では、Sun Microsystemsから12月に発表された問題に対処するためにJRockitで行われた脆弱性の修正をすべて示します。
JRockitで修正された、SunのSecurity Alertの勧告は以下の通りです。これらの勧告の詳細については、以下のリンクから該当するSunの勧告ページを参照してください。
- CVE 2008-5345: A Security Vulnerability in the Java Runtime Environment may Allow Code Loaded From the Local Filesystem to Access LocalHost
- CVE 2008-5347: Security Vulnerabilities in the Java Runtime Environment (JRE) JAX-WS and JAXB Packages may Allow Privileges to be Escalated
- CVE 2008-5348: A Security Vulnerability in Java Runtime Environment (JRE) With Authenticating Users Through Kerberos May Lead to a Denial of Service (DoS)
- CVE 2008-5349: Security Vulnerability in the Java Runtime Environment With Processing RSA Public Keys
- CVE 2008-5350: Security Vulnerability in Java Runtime Environment May Allow Applets to List the Contents of the Current User's Home Directory
- CVE 2008-5351: The Java Runtime Environment UTF-8 Decoder May Allow Multiple Representations of UTF-8 Input
- CVE 2008-5352: A Buffer Overflow Vulnerability in the Java Runtime Environment (JRE) "Unpack200" JAR Unpacking Utility May Lead to Escalation of Privileges
- CVE 2008-5353: A Security Vulnerability in the Java Runtime Environment (JRE) Related to Deserializing Calendar Objects May Allow Privileges to be Escalated
- CVE 2008-5354: A Buffer Overflow Vulnerability in the Java Runtime Environment (JRE) May Allow Privileges to be Escalated
- CVE 2008-5356、CVE 2008-5357、CVE 2008-5358、CVE 2008-5359: Java Runtime Environment (JRE) Buffer Overflow Vulnerabilities in Processing Image Files and Fonts May Allow Applets or Java Web Start Applications to Elevate Their Privileges
- CVE 2008-5360: The Java Runtime Environment Creates Temporary Files That Have "Guessable" File Names
II. 影響およびCVSS評価
CVSS評価値: 10.0
攻撃元区分 (AV): ネットワーク
攻撃条件の複雑さ (AC): 低
攻撃前の認証要否 (Au): なし
影響: 機密性、完全性、可用性の全体が影響を受ける
CVSS基本値区分: (AV:N/AC:L/Au:N/C:C/I:C/A:C)
注: CVSS値は、このJRockitの勧告で修正されたすべての勧告の (NVDによって算出された) 最大値です。
III. 影響を受けるバージョン
この脆弱性の影響を受けるのは、Oracle JRockitの次に示すバージョンです。
- JRockit R27.6.2とそれ以前のリリース、SDKおよびJRE 1.4.2
- JRockit R27.6.2とそれ以前のリリース、JREおよびJDK 5.0
- JRockit R27.6.2とそれ以前のリリース、JREおよびJDK 6
IV. 対処方法
JRockit R27.6.2またはそれ以前のリリースを使用している場合、Oracleでは、R27.6.3をインストールすることを強く推奨します。
Oracle Jrockitの各リリースは、
http://www.oracle.com/technology/global/jp/software/products/jrockit/index.htmlで入手できます。
セキュリティに関する伝達方針
Oracleは、当社のすべてのセキュリティ勧告で推奨される修正をお客様が適用されることを強く提案します。またOracleは、お客様にすべてのサービス/メンテナンスパックをリリース後直ちに適用していただくことも強く要請します。サービス/メンテナンスパックには、以前の各サービス/メンテナンスパックに加えて、製品の各バージョンに対するすべてのバグ修正が累積的に含まれています。サービス/メンテナンスパックおよびサービス/メンテナンスパックについての情報は次の場所で公開しています。
http://www.oracle.com/technology/global/jp/software/products/ias/bea_main.html
注: WebLogic ServerおよびWebLogic Expressのセキュリティについての情報は、 http://otndnld.oracle.co.jp/document/products/wls/docs103/security.htmlをご覧ください。特定のプロダクション環境のセキュリティに関する情報については、 http://otndnld.oracle.co.jp/document/products/wls/docs103/lockdown/index.htmlをご覧ください。Oracleは、サーバのデプロイメントが安全にコンフィグレーションされていることをお客様が確信できるように、このドキュメントに再度目を通されることを強くお勧めします。
Oracle製品にセキュリティ関連の問題が存在する場合、Oracleは必要な勧告および指示を、適切な対処策とともに配信させていただく方針です。お客様のサイト、データ、およびコードのセキュリティは当社にとって最優先事項ですので、セキュリティ関連の問題はすべて包み隠さずはっきりとお伝えすることを約束します。
過去のすべての勧告は、
http://www.oracle.com/technology/global/jp/deploy/security/beaarchive.htmlでご覧いただけます。
製品の勧告の配信登録を新しく希望するユーザは、
http://www.oracle.com/technology/global/jp/deploy/security/alerts.htmの登録に関する指示に従ってください。
セキュリティ関連の問題をOracleに報告するには、
http://www.oracle.com/technology/global/jp/deploy/security/alerts.htmの指示に従ってください。
Printer View