現在位置: ホーム / セキュリティ ブログ / Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory - Apr 2018)

Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory - Apr 2018)

4月16日に四半期恒例のOracle Javaの脆弱性が公開されました。今回はこのJavaの脆弱性(CVE-2018-2825 , CVE-2018-2826 , CVE-2018-2814 , CVE-2018-2811 , CVE-2018-2794 , CVE-2018-2783 , CVE-2018-2798 , CVE-2018-2796 , CVE-2018-2799 , CVE-2018-2797 , CVE-2018-2795 , CVE-2018-2815 , CVE-2018-2800 , CVE-2018-2790 )についてまとめてみます。

本サイトは05/22/2018(火)に新サイト(https://tech-lab.sios.jp/)に移行します。ブックマーク等を貼られている方はご注意くだ>さい。


こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

4月16日に四半期恒例のOracle Javaの脆弱性が公開されました。今回はこのJavaの脆弱性(CVE-2018-2825 , CVE-2018-2826 , CVE-2018-2814 , CVE-2018-2811 , CVE-2018-2794 , CVE-2018-2783 , CVE-2018-2798 , CVE-2018-2796 , CVE-2018-2799 , CVE-2018-2797 , CVE-2018-2795 , CVE-2018-2815 , CVE-2018-2800 , CVE-2018-2790)についてまとめてみます。



CVE概要(詳細はCVEのサイトをご確認ください)

  • CVE-2018-2825

    • 影響するバージョン:Java SE: 10

    • サブコンポーネント: Libraries

    • CVSS 3.0 Base Score 8.3

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H)

    • VarHandleでの不充分なarrayタイプチェック

  • CVE-2018-2826

    • 影響するバージョン:Java SE: 10

    • サブコンポーネント: Libraries

    • CVSS 3.0 Base Score 8.3

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H)

    • MethodHandletryHandle例外タイプのクリーンアップでの不充分なタイプチェック

  • CVE-2018-2814

    • 影響するバージョン:Java SE: 6u181, 7u171, 8u162, 10; Java SE Embedded: 8u161

    • サブコンポーネント: Hotspot

    • CVSS 3.0 Base Score 8.3

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H)

    • Referenceクローンの不正な取扱によるsandboxのバイパス

  • CVE-2018-2811

    • 影響するバージョン:Java SE: 8u162, 10

    • サブコンポーネント: Install

    • CVSS 3.0 Base Score 7.7

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H)

    • N/A

  • CVE-2018-2794

    • 影響するバージョン:Java SE: 6u181, 7u171, 8u162, 10, JRockit: R28.3.17

    • サブコンポーネント: Security

    • CVSS 3.0 Base Score 7.7

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H)

    • JCEKSキーストアからのデータの制限されていないデシリアライゼーション

  • CVE-2018-2783

    • 影響するバージョン:Java SE: 6u181, 7u161, 8u152; Java SE Embedded: 8u152; JRockit: R28.3.17

    • サブコンポーネント: Security

    • CVSS 3.0 Base Score 7.4

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H)

    • N/A

  • CVE-2018-2798

    • 影響するバージョン:Java SE: 6u181, 7u171, 8u162, 10; Java SE Embedded: 8u161; JRockit: R28.3.17

    • サブコンポーネント: AWT

    • CVSS 3.0 Base Score 5.3

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H)

    • Containerでのデシリアライゼーション中の非境界メモリアロケーション

  • CVE-2018-2796

    • 影響するバージョン:Java SE: 7u171, 8u162, 10; Java SE Embedded: 8u161; JRockit: R28.3.17

    • サブコンポーネント: Concurrency

    • CVSS 3.0 Base Score 5.3

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H)

    • PriorityBlockingQueueでのデシリアライゼーション中の非境界メモリアロケーション

  • CVE-2018-2799

    • 影響するバージョン:Java SE: 7u171, 8u162, 10; Java SE Embedded: 8u161; JRockit: R28.3.17

    • サブコンポーネント: JAXP

    • CVSS 3.0 Base Score 5.3

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H)

    • NamedNodeMapImplでのデシリアライゼーション中の非境界メモリアロケーション

  • CVE-2018-2797

    • 影響するバージョン:Java SE: 6u181, 7u171, 8u162, 10; Java SE Embedded: 8u161; JRockit: R28.3.17

    • サブコンポーネント: JMX

    • CVSS 3.0 Base Score 5.3

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H)

    • TabularDataSupportでのデシリアライゼーション中の非境界メモリアロケーション

  • CVE-2018-2795

    • 影響するバージョン:Java SE: 6u181, 7u171, 8u162, 10; Java SE Embedded: 8u161; JRockit: R28.3.17

    • サブコンポーネント: Security

    • CVSS 3.0 Base Score 5.3

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H)

    • 複数のクラスでのデシリアライゼーション中の非境界メモリアロケーション

  • CVE-2018-2815

    • 影響するバージョン:Java SE: 6u181, 7u171, 8u162, 10; Java SE Embedded: 8u161; JRockit: R28.3.17

    • サブコンポーネント: Serialization

    • CVSS 3.0 Base Score 5.3

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H)

    • StubIORImplでのデシリアライゼーション中の非境界メモリアロケーション

  • CVE-2018-2800

    • 影響するバージョン:Java SE: 6u181, 7u171, 8u162; JRockit: R28.3.17

    • サブコンポーネント: RMI

    • CVSS 3.0 Base Score 4.2

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H)

    • HTTP転送がデフォルトで許可

  • CVE-2018-2790

    • 影響するバージョン:Java SE: 6u181, 7u171, 8u162, 10; Java SE Embedded: 8u161

    • サブコンポーネント: Security

    • CVSS 3.0 Base Score 3.1

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H)

    • JARマニフェストでの不正なセクションのマージ


主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

タグ:
OSSよろず相談室

サイオスOSSよろず相談室(2)

問い合わせボタン