Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory - Oct 2019)

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

10月16日に四半期恒例のOracle Javaの脆弱性(CVE-2019-2949,CVE-2019-2989,CVE-2019-2958,CVE-2019-11068,CVE-2019-2977,CVE-2019-2975,CVE-2019-2999,CVE-2019-2996,CVE-2019-2987,CVE-2019-2962,CVE-2019-2988,CVE-2019-2992,CVE-2019-2964,CVE-2019-2973,CVE-2019-2981,CVE-2019-2978,CVE-2019-2894,CVE-2019-2983,CVE-2019-2933,CVE-2019-2945)が公開されました。今回はこれらのJavaの脆弱性についてまとめてみます。


情報は分かり次第追記・更新します。



CVE概要(詳細はCVEのサイトをご確認ください)

  • CVE-2019-2949
    • 影響するバージョン:Java SE: 7u231, 8u221, 11.0.4, 13; Java SE Embedded: 8u221
    • サブコンポーネント: Kerberos
    • CVSS 3.0 Base Score 6.8
    • CVSS Vector: 元情報参照
  • CVE-2019-2989
    • 影響するバージョン:Java SE: 7u231, 8u221, 11.0.4, 13; Java SE Embedded: 8u221
    • サブコンポーネント: Networking
    • CVSS 3.0 Base Score 6.8
    • CVSS Vector: 元情報参照
  • CVE-2019-2958
    • 影響するバージョン:Java SE: 7u231, 8u221, 11.0.4, 13; Java SE Embedded: 8u221
    • サブコンポーネント: Libraries
    • CVSS 3.0 Base Score 5.9
    • CVSS Vector: 元情報参照
  • CVE-2019-11068
    • 影響するバージョン:Java SE: 8u221
    • サブコンポーネント: JavaFX (libxslt)
    • CVSS 3.0 Base Score 5.6
    • CVSS Vector: 元情報参照
    • 1.1.33までのlibxsltにはxsltCheckReadとxsltCheckWriteが"-1"の戻り値を受け取ってもアクセスを許可してしまうことがあるという、保護メカニズムの迂回方法が存在します。
  • CVE-2019-2977
    • 影響するバージョン:Java SE: 11.0.4, 13
    • サブコンポーネント: Hotspot
    • CVSS 3.0 Base Score 4.8
    • CVSS Vector: 元情報参照
  • CVE-2019-2975
    • 影響するバージョン:Java SE: 8u221, 11.0.4, 13; Java SE Embedded: 8u221
    • サブコンポーネント: Scripting
    • CVSS 3.0 Base Score 4.8
    • CVSS Vector: 元情報参照
  • CVE-2019-2999
    • 影響するバージョン:Java SE: 7u231, 8u221, 11.0.4, 13
    • サブコンポーネント: Javadoc
    • CVSS 3.0 Base Score 4.7
    • CVSS Vector: 元情報参照
  • CVE-2019-2996
    • 影響するバージョン:Java SE: 8u221; Java SE Embedded: 8u221
    • サブコンポーネント: Deployment
    • CVSS 3.0 Base Score 4.2
    • CVSS Vector: 元情報参照
  • CVE-2019-2987
    • 影響するバージョン:Java SE: 11.0.4, 13
    • サブコンポーネント: 2D
    • CVSS 3.0 Base Score 3.7
    • CVSS Vector: 元情報参照
  • CVE-2019-2962
    • 影響するバージョン:Java SE: 7u231, 8u221, 11.0.4, 13; Java SE Embedded: 8u221
    • サブコンポーネント: 2D
    • CVSS 3.0 Base Score 3.7
    • CVSS Vector: 元情報参照
  • CVE-2019-2988
    • 影響するバージョン:Java SE: 7u231, 8u221, 11.0.4, 13; Java SE Embedded: 8u221
    • サブコンポーネント: 2D
    • CVSS 3.0 Base Score 3.7
    • CVSS Vector: 元情報参照
  • CVE-2019-2992
    • 影響するバージョン:Java SE: 7u231, 8u221, 11.0.4, 13; Java SE Embedded: 8u221
    • サブコンポーネント: 2D
    • CVSS 3.0 Base Score 3.7
    • CVSS Vector: 元情報参照
  • CVE-2019-2964
    • 影響するバージョン:Java SE: 7u231, 8u221, 11.0.4, 13; Java SE Embedded: 8u221
    • サブコンポーネント: Concurrency
    • CVSS 3.0 Base Score 3.7
    • CVSS Vector: 元情報参照
  • CVE-2019-2973
    • 影響するバージョン:Java SE: 7u231, 8u221, 11.0.4, 13; Java SE Embedded: 8u221
    • サブコンポーネント: JAXP
    • CVSS 3.0 Base Score 3.7
    • CVSS Vector: 元情報参照
  • CVE-2019-2981
    • 影響するバージョン:Java SE: 7u231, 8u221, 11.0.4, 13; Java SE Embedded: 8u221
    • サブコンポーネント: JAXP
    • CVSS 3.0 Base Score 3.7
    • CVSS Vector: 元情報参照
  • CVE-2019-2978
    • 影響するバージョン:Java SE: 7u231, 8u221, 11.0.4, 13; Java SE Embedded: 8u221
    • サブコンポーネント: Networking
    • CVSS 3.0 Base Score 3.7
    • CVSS Vector: 元情報参照
  • CVE-2019-2894
    • 影響するバージョン:Java SE: 7u231, 8u221, 11.0.4, 13; Java SE Embedded: 8u221
    • サブコンポーネント: Security
    • CVSS 3.0 Base Score 3.7
    • CVSS Vector: 元情報参照
  • CVE-2019-2983
    • 影響するバージョン:Java SE: 7u231, 8u221, 11.0.4, 13; Java SE Embedded: 8u221
    • サブコンポーネント: Serialization
    • CVSS 3.0 Base Score 3.7
    • CVSS Vector: 元情報参照
  • CVE-2019-2933
    • 影響するバージョン:Java SE: 7u231, 8u221, 11.0.4, 13; Java SE Embedded: 8u221
    • サブコンポーネント: Libraries
    • CVSS 3.0 Base Score 3.1
    • CVSS Vector: 元情報参照
  • CVE-2019-2945
    • 影響するバージョン:Java SE: 7u231, 8u221, 11.0.4, 13; Java SE Embedded: 8u221
    • サブコンポーネント: Networking
    • CVSS 3.0 Base Score 3.1
    • CVSS Vector: 元情報参照

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください


対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteKatello、Spacewalk等を使うと管理が便利でしょう。

また、サービスの再起動が発生しますので、peacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。



セキュリティ系連載案内

セミナー情報1

2019/10/29(火) 18:30-20:30に「「やってはイケナイ」をやってみよう 第3弾_in 大阪 」と題しましたセミナーを開催します。このセミナーでは、実際に色々な「やってはイケナイ」をデモを交えて行い、実際にどのような問題が発生するのかを確認し、その様な万が一の場合を防ぐために行っておくべき対策を紹介していきます。

また、(ゲリラ的にOSSセキュリティ技術の会の所属としてですが)先日サンディエゴで開催されましたLinux Security Summit 2019の情報共有も行う予定です。

プログラム内容と申し込みの詳細につきましては、https://sios.connpass.com/event/148268/をご覧下さい。

皆様の申込みをお待ちしております。


セミナー情報2

コンピュータセキュリティシンポジウム2019(長崎)が2019年10月21日(月) ~ 10月24日(木)で開催されます。

こちらですが、OSSセキュリティ技術の会も後援になっており、オープンソースソフトウェア(OSS)セキュリティ技術トラック(略称:OWSトラック) も用意しております。


OSSに関するお困りごとは サイオス OSSよろず相談室まで

サイオスOSSよろず相談室 では、OSSを利用する中で発生する問題に対し、長年培ってきた技術力・サポート力をもって企業のOSS活用を強力に支援します。Red Hat Enterprise Linux のほか、CentOS をご利用されている環境でのサポートも提供いたします。

前へ

sudoの脆弱性情報(Important: CVE-2019-14287)と新バージョン(1.8.28)

次へ

MySQLの脆弱性(Oracle Critical Patch Update Advisory - Oct 2019)