こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

1月16日に四半期恒例のOracle Javaの脆弱性が公開されました。今回はこのJavaの脆弱性についてまとめてみます。

• 重要度 – Critical

• 影響するバージョン：Java SE: 8u152, 9.0.1

• 非開示の脆弱性修正。

• 重要度 – Critical

• 影響するバージョン：Java SE: 8u152, 9.0.1

• 非開示の脆弱性修正。

• 重要度 – Important

• 影響するバージョン：Java SE: 6u171, 7u161, 8u152, 9.0.1; Java SE Embedded: 8u151; JRockit: R28.3.16

• LDAPCertStoreによるLDAPreferralsの安全でない取扱い

• 重要度 – Important

• 影響するバージョン：Java SE: 8u152, 9.0.1

• 非開示の脆弱性修正(Installer)。

• 重要度 – Important

• 影響するバージョン：Java SE: 6u171, 7u161, 8u152, 9.0.1; Java SE Embedded: 8u151; JRockit: R28.3.16

• SingleEntryRegistryの正しくないデシリアライズフィルタセットアップ

• 重要度 – Important

• 影響するバージョン：Java SE: 7u161, 8u152, 9.0.1; Java SE Embedded: 8u151

• HTTP/SPNEGOのためのグローバル証明書の使い方に関して。

• 重要度 – Important

• 影響するバージョン：Java SE: 8u152, 9.0.1; Java SE Embedded: 8u151

• invokeinterface命令での不完全な確認

• 重要度 – Important

• 影響するバージョン：Java SE: 6u171, 7u161, 8u152, 9.0.1; Java SE Embedded: 8u151

• GTK libraryでのuse-after-free

• 重要度 – Moderate

• 影響するバージョン：Java SE: 6u171, 7u161, 8u152, 9.0.1; Java SE Embedded: 8u151; JRockit: R28.3.16

• keyアグリーメントでの不充分な強度

• 重要度 – Moderate

• 影響するバージョン：Java SE: 6u171, 7u161, 8u152, 9.0.1; Java SE Embedded: 8u151; JRockit: R28.3.16

• GSSコンテキストでのuse-after-free

• 重要度 – Moderate

• 影響するバージョン：Java SE: 6u171, 7u161, 8u152, 9.0.1; Java SE Embedded: 8u151; JRockit: R28.3.16

• DerValueでの無制限なメモリ割り当て

• 重要度 – Moderate

• 影響するバージョン：Java SE: 6u171, 7u161; JRockit: R28.3.16

• 非開示の脆弱性修正(Serialization)。

• 重要度 – Moderate

• 影響するバージョン：Java SE: 6u171, 7u161, 8u152, 9.0.1; Java SE Embedded: 8u151; JRockit: R28.3.16

• DnsClientでのソースポートランダム化がきちんと行われていなかった。

• 重要度 – Moderate

• 影響するバージョン：Java SE: 7u161, 8u152, 9.0.1

• 非開示の脆弱性修正(JavaFX)。

• 重要度 – Moderate

• 影響するバージョン：Java SE: 6u171, 7u161, 8u152, 9.0.1; Java SE Embedded: 8u151

• 信頼できないロケーションからのクラスのロード

• 重要度 – Moderate

• 影響するバージョン：Java SE: 6u171, 7u161, 8u152, 9.0.1; Java SE Embedded: 8u151

• デシリアライズ中の無制限なメモリ割り当て

• 重要度 – Moderate

• 影響するバージョン：Java SE: 6u171, 7u161, 8u152, 9.0.1; Java SE Embedded: 8u151; JRockit: R28.3.16

• BasicAttributes デシリアライズ中の無制限なメモリ割り当て

• 重要度 – Moderate

• 影響するバージョン：Java SE: 6u171, 7u161, 8u152, 9.0.1; Java SE Embedded: 8u151; JRockit: R28.3.16

• LdapLoginModuleでの、LDAPクエリにおけるユーザ名の不充分な暗号化

• 重要度 – Moderate

• 影響するバージョン：Java SE: 6u171, 7u161, 8u152, 9.0.1; Java SE Embedded: 8u151; JRockit: R28.3.16

• ArrayBlockingQueueデシリアライズの一貫性のない状態

• Not for OSS/Java Advanced Management Console

• 影響するバージョン：Java Advanced Management Console: 2.8

• 重要度 – Low

• 影響するバージョン：Java SE: 6u171, 7u161, 8u152, 9.0.1; Java SE Embedded: 8u151; JRockit: R28.3.16

• 暗号化キーデータへの非同期のアクセス

詳細は、各ディストリビューションの提供元にご確認ください

• Debian

• https://security-tracker.debian.org/tracker/CVE-2018-2638

• https://security-tracker.debian.org/tracker/CVE-2018-2639

• https://security-tracker.debian.org/tracker/CVE-2018-2633

• https://security-tracker.debian.org/tracker/CVE-2018-2627

• https://security-tracker.debian.org/tracker/CVE-2018-2637

• https://security-tracker.debian.org/tracker/CVE-2018-2634

• https://security-tracker.debian.org/tracker/CVE-2018-2582

• https://security-tracker.debian.org/tracker/CVE-2018-2641

• https://security-tracker.debian.org/tracker/CVE-2018-2618

• https://security-tracker.debian.org/tracker/CVE-2018-2629

• https://security-tracker.debian.org/tracker/CVE-2018-2603

• https://security-tracker.debian.org/tracker/CVE-2018-2657

• https://security-tracker.debian.org/tracker/CVE-2018-2599

• https://security-tracker.debian.org/tracker/CVE-2018-2581

• https://security-tracker.debian.org/tracker/CVE-2018-2602

• https://security-tracker.debian.org/tracker/CVE-2018-2677

• https://security-tracker.debian.org/tracker/CVE-2018-2678

• https://security-tracker.debian.org/tracker/CVE-2018-2588

• https://security-tracker.debian.org/tracker/CVE-2018-2663

• https://security-tracker.debian.org/tracker/CVE-2018-2675

• https://security-tracker.debian.org/tracker/CVE-2018-2579

• Red Hat Enterprise Linux/CentOS

• https://access.redhat.com/security/cve/CVE-2018-2638

• https://access.redhat.com/security/cve/CVE-2018-2639

• https://access.redhat.com/security/cve/CVE-2018-2633

• https://access.redhat.com/security/cve/CVE-2018-2627

• https://access.redhat.com/security/cve/CVE-2018-2637

• https://access.redhat.com/security/cve/CVE-2018-2634

• https://access.redhat.com/security/cve/CVE-2018-2582

• https://access.redhat.com/security/cve/CVE-2018-2641

• https://access.redhat.com/security/cve/CVE-2018-2618

• https://access.redhat.com/security/cve/CVE-2018-2629

• https://access.redhat.com/security/cve/CVE-2018-2603

• https://access.redhat.com/security/cve/CVE-2018-2657

• https://access.redhat.com/security/cve/CVE-2018-2599

• https://access.redhat.com/security/cve/CVE-2018-2581

• https://access.redhat.com/security/cve/CVE-2018-2602

• https://access.redhat.com/security/cve/CVE-2018-2677

• https://access.redhat.com/security/cve/CVE-2018-2678

• https://access.redhat.com/security/cve/CVE-2018-2588

• https://access.redhat.com/security/cve/CVE-2018-2663

• https://access.redhat.com/security/cve/CVE-2018-2675

• https://access.redhat.com/security/cve/CVE-2018-2579

• Oracle Linux

• SUSE/openSUSE

• https://www.suse.com/security/cve/CVE-2018-2638.html

• https://www.suse.com/security/cve/CVE-2018-2639.html

• https://www.suse.com/security/cve/CVE-2018-2633.html

• https://www.suse.com/security/cve/CVE-2018-2627.html

• https://www.suse.com/security/cve/CVE-2018-2637.html

• https://www.suse.com/security/cve/CVE-2018-2634.html

• https://www.suse.com/security/cve/CVE-2018-2582.html

• https://www.suse.com/security/cve/CVE-2018-2641.html

• https://www.suse.com/security/cve/CVE-2018-2618.html

• https://www.suse.com/security/cve/CVE-2018-2629.html

• https://www.suse.com/security/cve/CVE-2018-2603.html

• https://www.suse.com/security/cve/CVE-2018-2657.html

• https://www.suse.com/security/cve/CVE-2018-2599.html

• https://www.suse.com/security/cve/CVE-2018-2581.html

• https://www.suse.com/security/cve/CVE-2018-2602.html

• https://www.suse.com/security/cve/CVE-2018-2677.html

• https://www.suse.com/security/cve/CVE-2018-2678.html

• https://www.suse.com/security/cve/CVE-2018-2588.html

• https://www.suse.com/security/cve/CVE-2018-2663.html

• https://www.suse.com/security/cve/CVE-2018-2675.html

• https://www.suse.com/security/cve/CVE-2018-2579.html

• Ubuntu

• http://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-2638

• http://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-2639

• http://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-2633

• http://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-2627

• http://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-2637

• http://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-2634

• http://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-2582

• http://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-2641

• http://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-2618

• http://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-2629

• http://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-2603

• http://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-2657

• http://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-2599

• http://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-2581

• http://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-2602

• http://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-2677

• http://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-2678

• http://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-2588

• http://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-2663

• http://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-2675

• http://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-2579