JVNDB-2009-001987

Sun JRE の unpack200 ユーティリティにおける整数オーバーフローの脆弱性

Sun Java Runtime Environment (JRE) の unpack200 ユーティリティには、圧縮された Pack200 JAR ファイルのヘッダにある length フィールドの処理に不備があるため、整数オーバーフローの脆弱性が存在します。

VMware

• VMware ESX 4.0
• VMware ESX 3.5
• VMware ESX 3.0.3
• VMware Server 2.0
• VMware vCenter 4.0
• VMware VirtualCenter 2.5
• VMware VirtualCenter 2.0.2
• VMware vMA 4.0

アップル

• Apple Mac OS X v10.5.8
• Apple Mac OS X Server v10.5.8

サン・マイクロシステムズ

• JDK 6 Update 14 およびそれ以前
• JDK 5.0 Update 19 およびそれ以前
• JRE 6 Update 14 およびそれ以前
• JRE 5.0 Update 19 およびそれ以前

ヒューレット・パッカード

• HP-UX 11.11 
• HP-UX 11.23 
• HP-UX 11.31 

ミラクル・リナックス

• Asianux Server 4.0 
• Asianux Server 4.0 (x86-64) 
• Asianux Server 3 (x86) 
• Asianux Server 3 (x86-64) 

レッドハット

• Red Hat Enterprise Linux Extras 4 extras 
• Red Hat Enterprise Linux Extras 4.8.z extras 
• RHEL Desktop Supplementary 5 (client) 
• RHEL Supplementary 5 (server) 
• RHEL Supplementary EUS 5.3.z (server) 
• RHEL Supplementary EUS 5.4.z (server) 
• Red Hat Enterprise Linux 5 (server) 
• Red Hat Enterprise Linux Desktop 5.0 (client) 
• Red Hat Enterprise Linux EUS 5.3.z (server) 

攻撃者に権限を取得される可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

VMware

• VMware Security Advisories : VMSA-2009-0016

アップル

• Apple Security Updates : HT3851
• Apple セキュリティアップデート : HT3851

サン・マイクロシステムズ

• Sun : Changes in 1.5.0_20
• Sun : Changes in 1.6.0_15 (6u15)
• Sun Alert Notification : 263488

ヒューレット・パッカード

• HP Security Bulletin : HPSBUX02476

ミラクル・リナックス

• Asianux Technical Support Network : jdk-1.6.0_156
• MIRACLE LINUX アップデート情報 : 1762

レッドハット

• Red Hat Security Advisory : RHSA-2009:1236
• Red Hat Security Advisory : RHSA-2009:1201
• Red Hat Security Advisory : RHSA-2009:1200
• Red Hat Security Advisory : RHSA-2009:1199
• Red Hat Security Advisory : RHSA-2009:1582
• レッドハット セキュリティーアップデート : RHSA-2009:1236
• レッドハット セキュリティーアップデート : RHSA-2009:1201
• レッドハット セキュリティーアップデート : RHSA-2009:1200
• レッドハット セキュリティーアップデート : RHSA-2009:1199
• レッドハット セキュリティーアップデート : RHSA-2009:1582

1. 認可・権限・アクセス制御(CWE-264) [NVD評価]

1. CVE-2009-2675

1. National Vulnerability Database (NVD) : CVE-2009-2675
2. Secunia Advisory : SA36176
3. Secunia Advisory : SA36180
4. Secunia Advisory : SA36199
5. Secunia Advisory : SA36159
6. SecurityFocus : 35944
7. ISS X-Force Database : 52307
8. VUPEN Security : VUPEN/ADV-2009-2153

• [2009年09月09日]
    掲載
  [2009年10月08日]
    影響を受けるシステム：ミラクル・リナックス (jdk-1.6.0_156) の情報を追加
    ベンダ情報：ミラクル・リナックス (jdk-1.6.0_156) を追加
  [2009年12月21日]
    影響を受けるシステム：VMware (VMSA-2009-0016) の情報を追加
    影響を受けるシステム：ヒューレット・パッカード (HPSBUX02476) の情報を追加
    影響を受けるシステム：レッドハット (RHSA-2009:1582) の情報を追加
    ベンダ情報：VMware (VMSA-2009-0016) を追加
    ベンダ情報：ヒューレット・パッカード (HPSBUX02476) を追加
    ベンダ情報：レッドハット (RHSA-2009:1582) を追加