こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。
7月16日に四半期恒例のOracle Javaの脆弱性(CVE-2019-7317, CVE-2019-2821, CVE-2019-2762, CVE-2019-2769, CVE-2019-2745, CVE-2019-2816, CVE-2019-2842, CVE-2019-2786, CVE-2019-2818, CVE-2019-2766
)が公開されました。今回はこれらのJavaの脆弱性についてまとめてみます。
情報は分かり次第追記します。
07/24更新: RHEL/SUSE/Ubuntuの情報を追加しました。脆弱性の詳細を追記しました。
[関連リンク(最新5件)]
Oracle Javaの脆弱性(CVE-2019-2699, CVE-2019-2697, CVE-2019-2698, CVE-2019-2602, CVE-2019-2684)
Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory – Jan 2019)
Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory – Oct 2018)
Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory – Jul 2018)
Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory – Apr 2018) — | サイオスOSS | サイオステクノロジー
関連するCVE
- CVE-2019-7317
- CVE-2019-2821
- CVE-2019-2762
- CVE-2019-2769
- CVE-2019-2745
- CVE-2019-2816
- CVE-2019-2842
- CVE-2019-2786
- CVE-2019-2818
- CVE-2019-2766
情報源
CVE概要(詳細はCVEのサイトをご確認ください)
- CVE-2019-7317
- 影響するバージョン:Java SE: 7u221, 8u212, 11.0.3, 12.0.1; Java SE Embedded: 8u211
- サブコンポーネント: AWT (libpng)
- CVSS 3.0 Base Score 6.8
- CVSS Vector: 元情報参照
- (libpng) png.c in libpng 1.6.36のpng.c中のpng_image_free()には、png_safe_execute下でpng_image_free_function()が呼び出されておりuse-after-freeの問題があります。
- CVE-2019-2821
- 影響するバージョン:Java SE: 11.0.3, 12.0.1
- サブコンポーネント: JSSE
- CVSS 3.0 Base Score 5.3
- CVSS Vector: 元情報参照
- JSSEのコンポーネントで、TLSハンドシェイク時のOCSP staplingメッセージの認証の取扱に問題が見つかりました。リモートの攻撃者はこれを利用してTLSハンドシェイクメッセ>ージを真似することにより重要な情報にアクセスできる可能性があります。
- CVE-2019-2762
- 影響するバージョン:Java SE: 7u221, 8u212, 11.0.3, 12.0.1; Java SE Embedded: 8u211
- サブコンポーネント: Utilities
- CVSS 3.0 Base Score 5.3
- CVSS Vector: 元情報参照
- UtilitiesコンポーネントのThrowableクラスの実装では、Serialストリームの抑制例外が十分に検証されないことがわかりました。 特別に細工された入力により、Javaアプリケーションは矛盾するオブジェクトを作成し、Deserializeされたときに過剰な量のシステムリソースを使用する可能性があります。
- CVE-2019-2769
- 影響するバージョン:Java SE: 7u221, 8u212, 11.0.3, 12.0.1; Java SE Embedded: 8u211
- サブコンポーネント: Utilities
- CVSS 3.0 Base Score 5.3
- CVSS Vector: 元情報参照
- UtilitiesコンポーネントのCollectionsクラスの実装では、Serializeされたフォームからオブジェクトインスタンスを作成するときに割り当てられるメモリ量を制限しないことがわかりました。 特別に細工された入力により、シリアル化が解除されたときにJavaアプリケーションが過剰な量のメモリを使用する可能性があります。
- CVE-2019-2745
- 影響するバージョン:Java SE: 7u221, 8u212, 11.0.3
- サブコンポーネント: Security
- CVSS 3.0 Base Score 5.1
- CVSS Vector: 元情報参照
- セキュリティコンポーネント中のEC暗号化は、より実装が効率的で、簡単で、サイドチャネル攻撃(タイミング又はキャッシュ)に対する回復力が高くなるように実装されました。
- CVE-2019-2816
- 影響するバージョン:Java SE: 7u221, 8u212, 11.0.3, 12.0.1; Java SE Embedded: 8u211
- サブコンポーネント: Networking
- CVSS 3.0 Base Score 4.8
- CVSS Vector: 元情報参照
- ネットワークコンポーネント中のURLクラス実装で、入力値の確認部分に問題がありました。
- CVE-2019-2842
- 影響するバージョン:Java SE: 8u212
- サブコンポーネント: JCE
- CVSS 3.0 Base Score 3.7
- CVSS Vector: 元情報参照
- AESやSHAなどの暗号化アルゴリズム用のJCEコンポーネントでの暗号化プロバイダ実装では、配列の境界チェックが実行されていないことがわかりました。
- CVE-2019-2786
- 影響するバージョン:Java SE: 8u212, 11.0.3, 12.0.1; Java SE Embedded: 8u211
- サブコンポーネント: Security
- CVSS 3.0 Base Score 3.4
- CVSS Vector: 元情報参照
- SecurityコンポーネントのAccessControllerクラスの実装に問題があり、現在のコンテキストに基づいて特権を正しく制限できていないことがある事がわかりました。
- CVE-2019-2818
- 影響するバージョン:Java SE: 11.0.3, 12.0.1
- サブコンポーネント: Security
- CVSS 3.0 Base Score 3.1
- CVSS Vector: 元情報参照
- Securityコンポーネントに含まれるChaCha20Cipherの実装で、タグの比較に問題がありました。
- CVE-2019-2766
- 影響するバージョン:Java SE: 7u221, 8u212, 11.0.3, 12.0.1; Java SE Embedded: 8u211
- サブコンポーネント: Networking
- CVSS 3.0 Base Score 3.1
- CVSS Vector: 元情報参照
- Windows OSのfile://プロトコルハンドラに欠陥が見つかりました。 権限チェックが不十分な場合、リモートの攻撃者が機密情報にアクセス出来る可能性があります。
主なディストリビューションの対応方法
詳細は、各ディストリビューションの提供元にご確認ください
- Debian
- https://security-tracker.debian.org/tracker/CVE-2019-7317
- https://security-tracker.debian.org/tracker/CVE-2019-2821
- https://security-tracker.debian.org/tracker/CVE-2019-2762
- https://security-tracker.debian.org/tracker/CVE-2019-2769
- https://security-tracker.debian.org/tracker/CVE-2019-2745
- https://security-tracker.debian.org/tracker/CVE-2019-2816
- https://security-tracker.debian.org/tracker/CVE-2019-2842
- https://security-tracker.debian.org/tracker/CVE-2019-2786
- https://security-tracker.debian.org/tracker/CVE-2019-2818
- https://security-tracker.debian.org/tracker/CVE-2019-2766
- Red Hat Enterprise Linux/CentOS
- https://access.redhat.com/security/cve/CVE-2019-7317
- https://access.redhat.com/security/cve/CVE-2019-2821
- https://access.redhat.com/security/cve/CVE-2019-2762
- https://access.redhat.com/security/cve/CVE-2019-2769
- https://access.redhat.com/security/cve/CVE-2019-2745
- https://access.redhat.com/security/cve/CVE-2019-2816
- https://access.redhat.com/security/cve/CVE-2019-2842
- https://access.redhat.com/security/cve/CVE-2019-2786
- https://access.redhat.com/security/cve/CVE-2019-2818
- https://access.redhat.com/security/cve/CVE-2019-2766
- Oracle Linux
- SUSE/openSUSE
- https://www.suse.com/security/cve/CVE-2019-7317.html
- https://www.suse.com/security/cve/CVE-2019-2821.html
- https://www.suse.com/security/cve/CVE-2019-2762.html
- https://www.suse.com/security/cve/CVE-2019-2769.html
- https://www.suse.com/security/cve/CVE-2019-2745.html
- https://www.suse.com/security/cve/CVE-2019-2816.html
- https://www.suse.com/security/cve/CVE-2019-2842.html
- https://www.suse.com/security/cve/CVE-2019-2786.html
- https://www.suse.com/security/cve/CVE-2019-2818.html
- https://www.suse.com/security/cve/CVE-2019-2766.html
- Ubuntu
- http://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-7317
- http://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-2821
- http://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-2762
- http://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-2769
- http://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-2745
- http://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-2816
- http://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-2842
- http://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-2786
対処方法
各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteやKatello、Spacewalk等を使うと管理が便利でしょう。
また、サービスの再起動が発生しますので、peacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。
セキュリティ系連載案内
- OSSセキュリティ技術の会による日経Linuxでの連載「IoT時代の最新SELinux入門」がITPro上で読めるようになりました。技術の会代表で第一人者である中村さん等による、最新のSELinuxの情報やコマンド類等も更新されているのでお薦めです。
- OSSセキュリティ技術の会によるThinkITでの連載「開発者のためのセキュリティ実践講座」がThinkIT上で開始しました。技術の会の中の人間で、最新の代表的なOSSセキュリティ技術を紹介していきます。
- OSSセキュリティ技術の会により、ThinkITでLinuxSecuritySummit 2018のレポートが紹介されています。
- OSSセキュリティ技術の会の面により、@ITで「OSS脆弱性ウォッチ」が連載されています。
- OSSセキュリティ技術の会の面により、@ITで「OpenSCAPで脆弱性対策はどう変わる?」が連載されています。
- OSSセキュリティ技術の会のメンバーにより、@ITで「Berkeley Packet Filter(BPF)入門」が連載されています。
セミナー情報1
Keycloakの初のコミュニティイベント「Keyconf19」がイギリスにて開催され、日本からも日立の乗松さんが参加・発表され、メンテナとコアな議論をしてきたので、2019/07/19(金) 18:45 〜 20:00 に『OSSセキュリティ技術の会 Keycloakミニ勉強会(副題:Keyconf19で日英クロスボンバーの巻)』と題してkeyconf19の報告会+αを開催することになりました。
Keycloakメンテナからのお土産のステッカーも人数限定であります!
https://secureoss-sig.connpass.com/event/136512/にて申し込みを行っております。奮ってご参加ください。
セミナー情報2
2019/07/31 10:00-17:00で開催される、一般社団法人 日本情報システム・ユーザ協会(JUAS)様による有料ハンズオンセミナー「ハンズオンで学ぶ!クラウド時代の運用管理とセキュリティ対策 」にて当ブログの筆者「面 和毅」が講師を努めます。
本セミナーでは、大手ベンダーや外資系企業、ユーザー企業などでセキュリティの専門家として20年以上の経験を持ち、現在、セキュリティエバンジェリストとして活躍する講師が実体験を交えながら、クラウド上のサーバーを安価に守る方法を、演習をまじえ、具体的にお伝えします。
https://juasseminar.jp/seminars/view/4119290にて申し込みを行っております。奮ってご参加ください。
セミナー情報3
2019/07/23 18:30-20:30で、「再演「やってはイケナイ」をやってみよう」セミナーを行います。
このセミナーは前回の「「やってはイケナイ」をやってみよう」セミナーの再演で、実際に色々な「やってはイケナイ」をデモを交えて行い、実際にどのような問題が発生するのかを確認し、その様な万が一の場合を防ぐために行っておくべき対策を紹介していきます。
https://sios.connpass.com/event/134622/がプログラム内容と申し込みの詳細になります。奮ってご参加下さい。
