Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory - Jul 2018)




7月17日に四半期恒例のOracle Javaの脆弱性(CVE-2018-2938, CVE-2018-2964, CVE-2018-2941, CVE-2018-2942, CVE-2018-2972, CVE-2018-2973, CVE-2018-2940, CVE-2018-2952)が公開されました。今回はこのJavaの脆弱性についてまとめてみます。


こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

7月17日に四半期恒例のOracle Javaの脆弱性(CVE-2018-2938, CVE-2018-2964, CVE-2018-2941, CVE-2018-2942, CVE-2018-2972, CVE-2018-2973, CVE-2018-2940, CVE-2018-2952)が公開されました。今回はこのJavaの脆弱性についてまとめてみます。


CVE概要(詳細はCVEのサイトをご確認ください)

  • CVE-2018-2938

    • 影響するバージョン:Java SE: 6u191, 7u181, 8u172

    • サブコンポーネント: Java DB

    • CVSS 3.0 Base Score 9.0

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H)

    • 悪用が難しい脆弱性により、認証されていない攻撃者が複数のプロトコルを利用してネットワークにアクセスし、Java SEを侵害する可能性があります。この脆弱性の攻撃を成功させると、Java SEの動作を乗っ取ることが出来ます。注意: この脆弱性はWebサービスを通して、Untrusted Java Web Start アプリケーションやUntrusted Javaアプレットなどを使わないコンポーネントのAPIにデータが提供される時に利用が可能です。

  • CVE-2018-2964

    • 影響するバージョン:Java SE: 8u172, 10.0.1

    • サブコンポーネント: Deployment

    • CVSS 3.0 Base Score 8.3

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H)

    • 悪用が難しい脆弱性により、認証されていない攻撃者が複数のプロトコル用してネットワークにアクセスし、Java SEを侵害する可能性があります。攻撃の成功には、攻撃者以外のヒューマニンターフェースが必要です。攻撃に成功すると、Java SEの動作を乗っ取る事が出来ます。注意:この脆弱性はJavaデプロイメントの際に発生し、特に、クライアントでサンドボックス化されたJava We Startアプリケーションやサンドボックス化されたJavaアプレットが、動作する時に信頼されていないコード(すなわちインターネットから来たコード)をロードして実行する際に発生するため、Javaサンドボックスのセキュリティに依存します。例えばサーバの中で信用されたコードがロードされて実行される場合には問題ありません。

  • CVE-2018-2941

    • 影響するバージョン:Java SE: 7u181, 8u172, 10.0.1

    • サブコンポーネント: JavaFX

    • CVSS 3.0 Base Score 8.3

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H)

    • 悪用が難しい脆弱性により、認証されていない攻撃者が複数のプロトコル用してネットワークにアクセスし、Java SEを侵害する可能性があります。攻撃の成功には、攻撃者以外のヒューマニンターフェースが必要です。攻撃に成功すると、Java SEの動作を乗っ取る事が出来ます。注意:この脆弱性はJavaデプロイメントの際に発生し、特に、クライアントでサンドボックス化されたJava We Startアプリケーションやサンドボックス化されたJavaアプレットが、動作する時に信頼されていないコード(すなわちインターネットから来たコード)をロードして実行する際に発生するため、Javaサンドボックスのセキュリティに依存します。例えばサーバの中で信用されたコードがロードされて実行される場合には問題ありません。

  • CVE-2018-2942

    • 影響するバージョン:Java SE: 7u181, 8u172

    • サブコンポーネント: Windows DLL

    • CVSS 3.0 Base Score 8.3

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H)

    • 悪用が難しい脆弱性により、認証されていない攻撃者が複数のプロトコル用してネットワークにアクセスし、Java SEを侵害する可能性があります。攻撃の成功には、攻撃者以外のヒューマニンターフェースが必要です。攻撃に成功すると、Java SEの動作を乗っ取る事が出来ます。注意:この脆弱性はJavaデプロイメントの際に発生します。この脆弱性は、サンドボックス化されたJava Web Startアプリケーションやサンドボックス化されたJavaアプレットを通して悪用されます。また、Webサービスのようにサンドボックス化されたJava Web Startアプリケーションやサンドボックス化されたJavaアプレットを使わないAPIの特定のコンポーネントを通しても悪用されます。

  • CVE-2018-2972

    • 影響するバージョン:Java SE: 10.0.1

    • サブコンポーネント: Security

    • CVSS 3.0 Base Score 5.9

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H)

    • 悪用が難しい脆弱性により、認証されていない攻撃者が複数のプロトコル用してネットワークにアクセスし、Java SEを侵害する可能性があります。攻撃に成功すると、Java SEがアクセス可能な重要なデータにアクセスすることが出来ます。注意:この脆弱性はJavaデプロイメントの際に発生します。この脆弱性は、サンドボックス化されたJava Web Startアプリケーションやサンドボックス化されたJavaアプレットを通して悪用されます。また、Webサービスのようにサンドボックス化されたJava Web Startアプリケーションやサンドボックス化されたJavaアプレットを使わないAPIの特定のコンポーネントを通しても悪用されます。

  • CVE-2018-2973

    • 影響するバージョン:Java SE: 6u191, 7u181, 8u172, 10.0.1; Java SE Embedded: 8u171

    • サブコンポーネント: JSSE

    • CVSS 3.0 Base Score 5.9

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H)

    • 悪用が難しい脆弱性により、認証されていない攻撃者が複数のプロトコル用してネットワークにSSL/TLSでアクセスし、Java SEを侵害する可能性があります。攻撃に成功すると、Java SE, Java SE Embeddedがアクセス可能な重要なデータにcreation, deletino, modificationのアクセスをすることが出来ます。注意:この脆弱性はJavaデプロイメントの際に発生します。この脆弱性は、サンドボックス化されたJava Web Startアプリケーションやサンドボックス化されたJavaアプレットを通して悪用されます。また、Webサービスのようにサンドボックス化されたJava Web Startアプリケーションやサンドボックス化されたJavaアプレットを使わないAPIの特定のコンポーネントを通しても悪用されます。

  • CVE-2018-2940

    • 影響するバージョン:Java SE: 6u191, 7u181, 8u172, 10.0.1; Java SE Embedded: 8u171

    • サブコンポーネント: Libraries

    • CVSS 3.0 Base Score 4.3

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H)

    • 簡単に悪用可能な脆弱性により、認証されていない攻撃者が複数のプロトコル用してネットワークにアクセスし、Java SEを侵害する可能性があります。攻撃の成功には、攻撃者以外のヒューマニンターフェースが必要です。攻撃に成功すると、Java SE, Java SE Embeddedがアクセス可能な重要なデータを読み取ることが出来ます。注意:この脆弱性はJavaデプロイメントの際に発生し、特に、クライアントでサンドボックス化されたJava We Startアプリケーションやサンドボックス化されたJavaアプレットが、動作する時に信頼されていないコード(すなわちインターネットから来たコード)をロードして実行する際に発生するため、Javaサンドボックスのセキュリティに依存します。例えばサーバの中で信用されたコードがロードされて実行される場合には問題ありません。

  • CVE-2018-2952

    • 影響するバージョン:Java SE: 6u191, 7u181, 8u172, 10.0.1; Java SE Embedded: 8u171; JRockit: R28.3.18

    • サブコンポーネント: Concurrency

    • CVSS 3.0 Base Score 3.7

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H)

    • 悪用が難しい脆弱性により、認証されていない攻撃者が複数のプロトコル用してネットワークにアクセスし、Java SE, Java SE Embedded, JRockitを侵害する可能性があります。攻撃に成功すると、Java SE, Java SE Embedded, JRockitに対して部分的なDoS(Partial DoS)を引き起こすことができます。注意:この脆弱性はJavaデプロイメントの際に発生します。この脆弱性は、サンドボックス化されたJava Web Startアプリケーションやサンドボックス化されたJavaアプレットを通して悪用されます。また、Webサービスのようにサンドボックス化されたJava Web Startアプリケーションやサンドボックス化されたJavaアプレットを使わないAPIの特定のコンポーネントを通しても悪用されます。


主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください


対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteやKatello、Spacewalk等を使うと管理が便利でしょう。

また、OSの再起動が発生しますので、peacemakerなどOSSのクラスタ製品を使うとサービス断の時間を最小限にすることが出来ます。


    • CVE-2018-2938

      • 影響するバージョン:Java SE: 6u191, 7u181, 8u172

      • サブコンポーネント: Java DB

      • CVSS 3.0 Base Score 9.0

      • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H)

      • 簡単に悪用可能な脆弱性により、認証されていない攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。

    • CVE-2018-2964

      • 影響するバージョン:Java SE: 8u172, 10.0.1

      • サブコンポーネント: Deployment

      • CVSS 3.0 Base Score 8.3

      • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H)

      • 簡単に悪用可能な脆弱性により、認証されていない攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。

    • CVE-2018-2941

      • 影響するバージョン:Java SE: 7u181, 8u172, 10.0.1

      • サブコンポーネント: JavaFX

      • CVSS 3.0 Base Score 8.3

      • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H)

      • 簡単に悪用可能な脆弱性により、認証されていない攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。

    • CVE-2018-2942

      • 影響するバージョン:Java SE: 7u181, 8u172

      • サブコンポーネント: Windows DLL

      • CVSS 3.0 Base Score 8.3

      • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H)

      • 簡単に悪用可能な脆弱性により、認証されていない攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。

    • CVE-2018-2972

      • 影響するバージョン:Java SE: 10.0.1

      • サブコンポーネント: Security

      • CVSS 3.0 Base Score 5.9

      • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H)

      • 簡単に悪用可能な脆弱性により、認証されていない攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。

    • CVE-2018-2973

      • 影響するバージョン:Java SE: 6u191, 7u181, 8u172, 10.0.1; Java SE Embedded: 8u171

      • サブコンポーネント: JSSE

      • CVSS 3.0 Base Score 5.9

      • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H)

      • 簡単に悪用可能な脆弱性により、認証されていない攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。

    • CVE-2018-2940

      • 影響するバージョン:Java SE: 6u191, 7u181, 8u172, 10.0.1; Java SE Embedded: 8u171

      • サブコンポーネント: Libraries

      • CVSS 3.0 Base Score 4.3

      • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H)

      • 簡単に悪用可能な脆弱性により、認証されていない攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。

    • CVE-2018-2952

      • 影響するバージョン:Java SE: 6u191, 7u181, 8u172, 10.0.1; Java SE Embedded: 8u171; JRockit: R28.3.18

      • サブコンポーネント: Concurrency

      • CVSS 3.0 Base Score 3.7

      • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H)

      • 簡単に悪用可能な脆弱性により、認証されていない攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。

セキュリティ系連載案内


セミナー情報 1

2018年10月22日から10月25日のCSS(Computer Security Symposium)2018で、「OSSセキュリティ技術ワークショップ(OWS) 2018特別セッション」 と題しまして、OSSセキュリティ技術の会後援で特別セッションを開催します。

https://www.iwsec.org/ows/2018/index.htmlにプログラム内容と一般論文申し込みの詳細を載せていきますので、是非御確認下さい(ページは更新中です)。

セミナー情報 2

2018年8月6日に「OSSセキュリティ技術の会 座談会(第一回)」を開催します。OSSセキュリティ技術の会では、講演形式の勉強会シリーズを行っていますが、今回は新たな試みとして座談会形式の会合を行います。

https://secureoss-sig.connpass.com/event/92782/にプログラム内容と申し込みの詳細を載せていますので、是非御参加下さい。

前へ

MySQLの脆弱性(CVE-2017-5645, CVE-2017-0379, CVE-2018-3064, CVE-2018-0739, CVE-2018-0739, CVE-2018-3070, CVE-2018-3060, CVE-2018-3065, CVE-2018-0739, CVE-2018-3073, CVE-2018-0739, CVE-2018-3074, CVE-2018-3062, CVE-2018-3081, CVE-2018-3071, CVE-2018-3079, CVE-2018-3054, CVE-2018-3077, CVE-2018-3078, CVE-2018-3080, CVE-2018-3061, CVE-2018-3067, CVE-2018-3063, CVE-2018-3075, CVE-2018-3058, CVE-2018-3056, CVE-2018-2598, CVE-2018-3066, CVE-2018-2767, CVE-2018-3084, CVE-2018-3082)

次へ

Tomcat 7.x/8.x/9.xの脆弱性 ( CVE-2018-1336, CVE-2018-8034, CVE-2018-8037 )