JVNDB-2008-001161

Sun JDK/JRE の画像処理ライブラリにおける権限昇格の脆弱性

Sun JDK/JRE の画像処理ライブラリには、信頼されていないアプリケーションによって権限昇格される脆弱性が存在します。

アップル

• Apple Mac OS X v10.4.11
• Apple Mac OS X v10.5.4 から v10.5.5
• Apple Mac OS X Server v10.4.11
• Apple Mac OS X Server v10.5.4 から v10.5.5

サン・マイクロシステムズ

• JDK 5.0 Update 14 およびそれ以前
• JDK 6 Update 4 およびそれ以前
• JRE 5.0 Update 14 およびそれ以前
• JRE 6 Update 4 およびそれ以前

ミラクル・リナックス

• Asianux Server 3 (x86) 
• Asianux Server 3 (x86-64) 

レッドハット

• Red Hat Enterprise Linux Extras 4 extras 
• RHEL Desktop Supplementary 5 (client) 
• RHEL Supplementary 5 (server) 

日立

• uCosminexus Application Server Enterprise
• uCosminexus Application Server Standard
• uCosminexus Client
• uCosminexus Developer Professional
• uCosminexus Developer Standard
• uCosminexus Operator
• uCosminexus Service Platform
• uCosminexus Service Architect
• 電子フォームワークフロー セット
• 電子フォームワークフロー ディベロッパセット
• 電子フォームワークフロー プロフェッショナルセット
• 電子フォームワークフロー スタンダードセット
• 電子フォームワークフロー プロフェッショナル Libraryセット
• 電子フォームワークフロー ディベロッパ クライアントセット

第三者によって、ローカルファイルを閲覧されたり、改ざんされたりする、またはローカルプログラムを実行される可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

アップル

• Apple Security Updates : Java for Mac OS X 10.4, Release 7
• Apple Security Updates : Java for Mac OS X 10.5 Update 2
• Apple セキュリティアップデート : Java for Mac OS X 10.4, Release 7
• Apple セキュリティアップデート : Java for Mac OS X 10.5 Update 2

サン・マイクロシステムズ

• Sun Alert Notification : 233325

ミラクル・リナックス

• Asianux Technical Support Network : jdk-1.6.0_05

レッドハット

• Red Hat Security Advisory : RHSA-2008:0186
• Red Hat Security Advisory : RHSA-2008:0210
• Red Hat Security Advisory : RHSA-2008:0244
• Red Hat Security Advisory : RHSA-2008:0245
• Red Hat Security Advisory : RHSA-2008:0267
• レッドハット セキュリティーアップデート : RHSA-2008:0186
• レッドハット セキュリティーアップデート : RHSA-2008:0210
• レッドハット セキュリティーアップデート : RHSA-2008:0244
• レッドハット セキュリティーアップデート : RHSA-2008:0245
• レッドハット セキュリティーアップデート : RHSA-2008:0267

日立

• Hitachi Software Vulnerability Information : HS08-010
• ソフトウェア製品セキュリティ情報 : HS08-010

富士通

• 富士通 セキュリティ情報 : TA08-066A

1. 認可・権限・アクセス制御(CWE-264) [NVD評価]

1. CVE-2008-1193

1. JVN : JVNTA08-066A
2. JVN Status Tracking Notes : TRTA08-066A
3. National Vulnerability Database (NVD) : CVE-2008-1193
4. US-CERT Cyber Security Alerts : SA08-066A
5. US-CERT Technical Cyber Security Alert : TA08-066A
6. Secunia Advisory : SA29239
7. SecurityFocus : 28083
8. ISS X-Force Database : 41028
9. FrSIRT Advisories : FrSIRT/ADV-2008-0770

• [2008年03月19日]
    掲載
  [2008年04月11日]
    影響を受けるシステム：ミラクル・リナックス (jdk-1.6.0_05) の情報追加。
    ベンダ情報: ミラクル・リナックス (jdk-1.6.0_05) 追加。
    ベンダ情報：レッドハット（RHSA-2008:0210）を追加。
  [2008年05月14日]
    ベンダ情報: レッドハット の情報を追加しました。
    ・RHSA-2008:0244
    ・RHSA-2008:0245
  [2008年06月02日]
    影響を受けるシステム：日立（HS08-010）を追加
    ベンダ情報：日立（HS08-010）を追加
    ベンダ情報：レッドハット（RHSA-2008:0267）を追加
  [2008年10月15日]
    影響を受けるシステム：アップルの情報を追加
    ・Java for Mac OS X 10.4 Release 7
    ・Java for Mac OS X 10.5 Update 2
    ベンダ情報：アップルを追加
    ・Java for Mac OS X 10.4 Release 7
    ・Java for Mac OS X 10.5 Update 2