現在位置: ホーム / セキュリティ ブログ / Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory - Oct 2017)

Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory - Oct 2017)

10月19日に四半期恒例のOracle Javaの脆弱性(CVE-2016-10165 , CVE-2016-9841 , CVE-2017-10274 , CVE-2017-10281 , CVE-2017-10285 , CVE-2017-10293 , CVE-2017-10295 , CVE-2017-10309 , CVE-2017-10341 , CVE-2017-10342 , CVE-2017-10345 , CVE-2017-10346 , CVE-2017-10347 , CVE-2017-10348 , CVE-2017-10349 , CVE-2017-10350 , CVE-2017-10355 , CVE-2017-10356 , CVE-2017-10357 , CVE-2017-10380 , CVE-2017-10386 , CVE-2017-10388 )が公開されました。今回はこのJavaの脆弱性についてまとめてみます。

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

10月19日に四半期恒例のOracle Javaの脆弱性(CVE-2016-10165 , CVE-2016-9841 , CVE-2017-10274 , CVE-2017-10281 , CVE-2017-10285 , CVE-2017-10293 , CVE-2017-10295 , CVE-2017-10309 , CVE-2017-10341 , CVE-2017-10342 , CVE-2017-10345 , CVE-2017-10346 , CVE-2017-10347 , CVE-2017-10348 , CVE-2017-10349 , CVE-2017-10350 , CVE-2017-10355 , CVE-2017-10356 , CVE-2017-10357 , CVE-2017-10380 , CVE-2017-10386 , CVE-2017-10388 )が公開されました。今回はこのJavaの脆弱性についてまとめてみます。

 


CVE概要(詳細はCVEのサイトをご確認ください)

  • CVE-2016-10165
    • 重要度 - Moderate

    • Little CMS (lcms2)のcmstypes.c中のType_MLU_Read()関数がリモートの攻撃者に重要な情報取得を許可してしまったり、領域外のヒープ読み込みをトリガーするような、細工されたICCプロファイル付きのイメージを通してDoSを引き起こすことが可能です。

  • CVE-2016-9841
    • 重要度 - Low

    • zlib 1.2.8のinffast.cにより、コンテキストに依存して攻撃者が不適切なポインタ計算を使うことで、不特定の影響を与える可能性が有ります。

  • CVE-2017-10274
    • 重要度 - Important

    • 影響するバージョン:Java SE: 6u161, 7u151, 8u144, 9

    • 脆弱性を悪用するのが難しいですが、ネットワークを介してアクセスした認証されていない攻撃者により、クリティカルなデータやJava SEのアクセスできるデータに対しての不正な作成・削除・変更のアクセスが可能になります。注意:この脆弱性は通常、サンドボックス化されたJava Web Startアプリケーションや、サンドボックス化されたJavaアプレットを実行しているクライアントで、信頼できない(インターネットからなどの)コードをロードして実行して展開する際に適用されます。一般にサーバーで、Javaが信頼できるコード(管理者がインストールしたコードな>ど)のみを展開してロードし、実行するような場合には適用されません。

  • CVE-2017-10281
    • 重要度 - Moderate

    • 影響するバージョン:Java SE: 6u161, 7u151, 8u144 and 9; Java SE Embedded: 8u144; JRockit: R28.3.15

    • 簡単に悪用可能な脆弱性により、複数のプロトコルを通じてアクセスしてきた攻撃者がJava SE, Java SE Embedded, JRockitを侵害する可能性が有ります。この攻撃が成功すると、 Java SE, Java SE Embedded, JRockitに部分的なDoSを引き起こすことが可能です。注意:この脆弱性はサンドボックス化されたJava Web Startアプリケーションと、サンドボックス化されたJavaアプレットによって悪用される可能性が有ります。また、これらを使用せずに、指定されたコンポーネントのAPIにデータを渡すことで悪用することも可能です。

  • CVE-2017-10285
    • 重要度 - Critical

    • 影響するバージョン:Java SE:6u161,7u151,8u144, 9; Java SE Embedded:8u144

    • 簡単に悪用可能な脆弱性により、複数のプロトコルを通じてアクセスしてきた攻撃者がJava SE, Java SE Embeddedを危険に晒す可能性が有ります。攻撃者以外の人間との対話が必要になります。この攻撃が成功すると、 Java SE, Java SE Embeddedに引き継がれます。注意:この脆弱性は通常、サンドボックス化されたJava Web Startアプリケーションや、サンドボックス化されたJavaアプレットを実行しているクライアントで、信頼できない(インターネットからなどの)コードをロードして実行して展開する際に適用されます。一般にサーバーで、Javaが信頼できるコード(管理者がインストールしたコードなど)のみを展開してロードし、実行するような場合には適用されません。

  • CVE-2017-10293
    • 重要度 - Moderate

    • 影響するバージョン:Java SE:6u161,7u151,8u144, 9

    • 簡単に悪用可能な脆弱性により、認証されていない攻撃者がHTTPを通じてアクセスしJava SEを危険に晒す可能性が有ります。攻撃者以外の人間との対話が必要になります。Java SEのアクセスできるデータに対しての不正な作成・削除・変更のアクセスが可能になります。注意:この脆弱性は通常、サンドボックス化されたJava Web Startアプリケーションや、サンドボックス化されたJavaアプレットを実行しているクライアントで、信頼できない(インターネットからなどの)コードをロードして実行して展開する際に適用されます。一般にサーバーで、Javaが信頼できるコード(管理者がインストールしたコードな>ど)のみを展開してロードし、実行するような場合には適用されません。

  • CVE-2017-10295
    • 重要度 - Moderate

    • 影響するバージョン:Java SE: 6u161, 7u151, 8u144 and 9; Java SE Embedded: 8u144; JRockit: R28.3.15

    • 悪用することが難しい脆弱性ですが、認証されていない攻撃者がHTTPを通じてアクセスしJava SE、Java SE Embedded、JRockitを侵害する可能性が有ります。この脆弱性はJava SE、Java SE Embedded、JRockitで発生しますが、追加製品にも大きな影響を与える可能性があります。注意:この脆弱性はサンドボックス化されたJava Web Startアプリケーションと、サンドボックス化されたJavaアプレットによって悪用される可能性が有ります。また、これらを使用せずに、指定されたコンポーネントのAPIにデータを渡すことで悪用することも可能です。

  • CVE-2017-10309
    • 重要度 - Important

    • 影響するバージョン:Java SE: 8u144, 9

    • Oracle Java SEのJava SEコンポーネントの脆弱性です。簡単に悪用可能な脆弱性により、認証されていない攻撃者が複数のプロトコルを通じてアクセスしJava SEを危険に晒す可能性が有ります。攻撃者以外の人間との対話が必要になります。Java SEのアクセスできるデータに対しての不正な作成・削除・変更のアクセスや、DoSが可能になります。注意:この脆弱性は通常、サンドボックス化されたJava Web Startアプリケーションや、サンドボックス化されたJavaアプレットを実行しているクライアントで、信頼できない(インターネットからなどの)コードをロードして実行して展開する際に適用されます。一般にサーバーで、Javaが信頼できるコード(管理者がインストールしたコードなど)のみを展開してロードし、実行するような場合には適用されません。

  • CVE-2017-10341
    • Not for OSS/Java Advanced Management Console

    • 影響するバージョン:Java Advanced Management Console 2.7

    • Java Advanced Management Consoleの脆弱性です。この脆弱性を利用して、攻撃者はJava Advanced Management Consoleがアクセスできるデータに対してinsert/deleteが可能です。

  • CVE-2017-10342
    • Not for OSS/Java Advanced Management Console

    • 影響するバージョン:Java Advanced Management Console 2.7

    • Java Advanced Management Consoleの脆弱性です。この脆弱性を利用して、攻撃者はJava Advanced Management Consoleに対してDoSを引き起こすことがが可能です。

  • CVE-2017-10345
    • 重要度 - Low

    • 影響するバージョン:Java SE: 6u161, 7u151, 8u144 and 9; Java SE Embedded: 8u144; JRockit: R28.3.15

    • 悪用することが難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを通じてアクセスしJava SE、Java SE Embedded、JRockitを侵害する可能性が有ります。この脆弱性を利用して、攻撃者はJava SE、Java SE Embedded、JRockitにDoSを引き起こすことが可能性です。注意:この脆弱性はサンドボックス化されたJava Web Startアプリケーションと、サンドボックス化されたJavaアプレットによって悪用される可能性が有ります。また、これらを使用せずに、指定されたコンポーネントのAPIにデータを渡すことで悪用することも可能です。

  • CVE-2017-10346
    • 重要度 - Critical

    • 影響するバージョン:Java SE: 6u161, 7u151, 8u144 and 9; Java SE Embedded: 8u144

    • 簡単に悪用可能な脆弱性により、認証されていない攻撃者が複数のプロトコルを通じてアクセスしJava SE, Java SE Embedded を危険に晒す可能性が有ります。攻撃者以外の人間との対話が必要になります。追加製品にも大きな影響を与える可能性があります。注意:この脆弱性は通常、サンドボックス化されたJava Web Startアプリケーションや、サンドボックス化されたJavaアプレットを実行しているクライアントで、信頼できない(インターネットからなどの)コードをロードして実行して展開する際に適用されます。一般にサーバーで、Javaが信頼できるコード(管理者がインストールしたコードなど)のみを展開してロードし、実行するような場合には適用されません。

  • CVE-2017-10347
    • 重要度 - Moderate

    • 影響するバージョン:Java SE: 6u161, 7u151, 8u144 and 9; JRockit: R28.3.15

    • 簡単に悪用可能な脆弱性により、認証されていない攻撃者が複数のプロトコルを通じてアクセスしJava SE, JRockitを侵害する可能性が有ります。この脆弱性により、Jrockit, JavaSEにたいして 部分的なDoSを引き起こすことが可能です。注意:この脆弱性は通常、サンドボックス化されたJava Web Startアプリケーションや、サンドボックス化されたJavaアプレットを実行しているクライアントで、信頼できない(インターネットからなどの)コードをロードして実行して展開する際に適用されます。一般にサーバーで、Javaが信頼できるコード(管理者がインストールしたコードなど)のみを展開してロードし、実行するような場合には適用されません。

  • CVE-2017-10348
    • 重要度 - Moderate

    • 影響するバージョン:Java SE: 6u161, 7u151, 8u144 and 9; JRockit: R28.3.15

    • 簡単に悪用可能な脆弱性により、認証されていない攻撃者が複数のプロトコルを通じてアクセスしJava SE, JRockitを侵害する可能性が有ります。この脆弱性により、JavaSE Embeddedにたいして 部分的なDoSを引き起こすことが可能です。注意:この脆弱性は通常、サンドボックス化されたJava Web Startアプリケーションや、サンドボックス化されたJavaアプレットを実行しているクライアントで、信頼できない(インターネットからなどの)コードをロードして実行して展開する際に適用されます。一般にサーバーで、Javaが信頼できるコード(管理者がインストールしたコードなど)のみを展開してロードし、実行するような場合には適用されません。

  • CVE-2017-10349
    • 重要度 - Moderate

    • 影響するバージョン:Java SE: 6u161, 7u151, 8u144 and 9; Java SE Embedded: 8u144

    • 簡単に悪用可能な脆弱性により、認証されていない攻撃者が複数のプロトコルを通じてアクセスしJava SE, JRockitを侵害する可能性が有ります。この脆弱性により、JavaSE Embeddedにたいして 部分的なDoSを引き起こすことが可能です。注意:この脆弱性は通常、サンドボックス化されたJava Web Startアプリケーションや、サンドボックス化されたJavaアプレットを実行しているクライアントで、信頼できない(インターネットからなどの)コードをロードして実行して展開する際に適用されます。一般にサーバーで、Javaが信頼できるコード(管理者がインストールしたコードなど)のみを展開してロードし、実行するような場合には適用されません。

  • CVE-2017-10350
    • 重要度 - Moderate

    • 影響するバージョン:Java SE: 7u151, 8u144 and 9; Java SE Embedded: 8u144

    • 簡単に悪用可能な脆弱性により、認証されていない攻撃者が複数のプロトコルを通じてアクセスしJava SE, Java SE Embeddedを危険に晒す可能性が有ります。この脆弱性により、JavaSE Embeddedにたいして 部分的なDoSを引き起こすことが可能です。注意:この脆弱性は通常、サンドボックス化されたJava Web Startアプリケーションや、サンドボックス化されたJavaアプレットを実行しているクライアントで、信頼できない(インターネットからなどの)コードをロードして実行して展開する際に適用されます。一般にサーバーで、Javaが信頼できるコード(管理者がインストールしたコードなど)のみを展開してロードし、実行するような場合には適用されません。

  • CVE-2017-10355
    • 重要度 - Moderate

    • 影響するバージョン:Java SE: 6u161, 7u151, 8u144 and 9; Java SE Embedded: 8u144 JRockit: R28.3.15

    • 簡単に悪用可能な脆弱性により、認証されていない攻撃者が複数のプロトコルを通じてアクセスしJava SE, Java SE Embeddedを危険に晒す可能性が有ります。この脆弱性により、Java SE, JavaSE Embedded, JRockitにたいして部分的なDoSを引き起こすことが可能です。注意:この脆弱性はサンドボックス化されたJava Web Startアプリケーションと、サンドボックス化されたJavaアプレットによって悪用される可能性が有ります。また、これらを使用せずに、指定されたコンポーネントのAPIにデータを渡すことで悪用することも可能です。

  • CVE-2017-10356
    • 重要度 - Moderate

    • 影響するバージョン:Java SE: 6u161, 7u151, 8u144 and 9; Java SE Embedded: 8u144JRockit: R28.3.15

    • 簡単に悪用可能な脆弱性により、認証されていない攻撃者がJava SE, Java SE Embedded, JRcockitのセキュリティを侵害するためにログインできます。この脆弱性により、Java SE, JavaSE Embedded, JRockitがアクセスできる全てのデータに完全にアクセスが可能です。注意:この脆弱性はサンドボックス化されたJava Web Startアプリケーションと、サンドボックス化されたJavaアプレットによって悪用される可能性が有ります。また、これらを使用せずに、指定されたコンポーネントのAPIにデータを渡すことで悪用することも可能です。

  • CVE-2017-10357
    • 重要度 - Moderate

    • 影響するバージョン:Java SE: 6u161, 7u151, 8u144 and 9; Java SE Embedded: 8u144

    • 簡単に悪用可能な脆弱性により、認証されていない攻撃者が複数のプロトコルを通じてアクセスしJava SE, Java SE Embeddedを危険に晒す可能性が有ります。この脆弱性により、Java SE, JavaSE Embeddedにたいして部分的なDoSを引き起こすことが可能です。注意:この脆弱性は通常、サンドボックス化されたJava Web Startアプリケーションや、サンドボックス化されたJavaアプレットを実行しているクライアントで、信頼できない(インターネットからなどの)コードをロードして実行して展開する際に適用されます。一般にサーバーで、Javaが信頼できるコード(管理者がインストールしたコードなど)のみを展開してロードし、実行するような場合には適用されません。

  • CVE-2017-10380
    • Not for OSS/Java Advanced Management Console

    • 影響するバージョン:Java Advanced Management Console 2.7

    • Java Advanced Management Consoleの脆弱性です。この脆弱性を利用して、攻撃者はJava Advanced Management Consoleがアクセスできるデータに対してupdate/insert/deleteが可能です。

  • CVE-2017-10386
    • Not for OSS/Java Advanced Management Console

    • 影響するバージョン:Java Advanced Management Console 2.7

    • Java Advanced Management Consoleの脆弱性です。この脆弱性を利用して、攻撃者はJava Advanced Management Consoleがアクセスできるデータに対してupdate/insert/deleteが可能です。

  • CVE-2017-10388
    • 重要度 - Important

    • 影響するバージョン:Java SE: 6u161, 7u151, 8u144 and 9; Java SE Embedded: 8u144

    • 悪用することが難しい脆弱性ですが、認証されていない攻撃者がKerberosを通じてアクセスしJava SE、Java SE Embedded、JRockitを侵害する可能性が有ります。攻撃者以外の人間との対話が必要になります。この脆弱性はJava SE、Java SE Embeddedで発生します。注意:Java SE Kerberosクライアントに適用されます。


    主なディストリビューションの対応方法

    詳細は、各ディストリビューションの提供元にご確認ください


    対処方法

    各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat Satelliteを使うと管理が便利でしょう。

    また、javaを使用してサービスを提供している場合には、サービスの再起動が発生しますので、pacemakerなどOSSのクラスタ製品LifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。


    [参考]

    Oracle Critical Patch Update Advisory - Oct 2017

    セキュリティ系連載案内


    セミナー情報

    2017/11/29 19:00に、OSSセキュリティ技術の会 第二回勉強会を行います。

    今回のテーマは新世代のOSS認証基盤です。

    https://connpass.com/event/69314/がプログラム内容と申し込みの詳細になります。奮ってご参加下さい。

    OSSに関するお困りごとは サイオス OSSよろず相談室まで

    サイオスOSSよろず相談室 では、OSSを利用する中で発生する問題に対し、長年培ってきた技術力・サポート力をもって企業のOSS活用を強力に支援します。Red Hat Enterprise Linux のほか、CentOS をご利用されている環境でのサポートも提供いたします。