JVNDB-2009-002007

Sun Java SE および OpenJDK における重要な情報を取得される脆弱性

Sun Java SE および OpenJDK には、final キーワードなしに宣言された静的な変数の処理に不備があるため、重要な情報を取得される脆弱性が存在します。
本脆弱性は CVE-2009-2673 とは異なる脆弱性です。

アップル

• Apple Mac OS X v10.5.8
• Apple Mac OS X Server v10.5.8

サン・マイクロシステムズ

• OpenJDK
• Sun Java SE 5.0 Update 20 未満
• Sun Java SE 6 Update 15 未満

ミラクル・リナックス

• Asianux Server 3 (x86) 
• Asianux Server 3 (x86-64) 

レッドハット

• Red Hat Enterprise Linux Extras 4 extras 
• Red Hat Enterprise Linux Extras 4.8.z extras 
• RHEL Desktop Supplementary 5 (client) 
• RHEL Supplementary 5 (server) 
• RHEL Supplementary EUS 5.3.z (server) 
• Red Hat Enterprise Linux 5 (server) 
• Red Hat Enterprise Linux Desktop 5.0 (client) 
• Red Hat Enterprise Linux EUS 5.3.z (server) 

final キーワードなしに宣言された静的な変数を処理することにより、重要な情報を取得される可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

アップル

• Apple Security Updates : HT3851
• Apple セキュリティアップデート : HT3851

サン・マイクロシステムズ

• SunSolve : 125139-16
• SunSolve : 118667-22

ミラクル・リナックス

• Asianux Technical Support Network : jdk-1.6.0_15

レッドハット

• Red Hat Security Advisory : RHSA-2009:1201
• Red Hat Security Advisory : RHSA-2009:1200
• Red Hat Security Advisory : RHSA-2009:1199
• レッドハット セキュリティーアップデート : RHSA-2009:1201
• レッドハット セキュリティーアップデート : RHSA-2009:1200
• レッドハット セキュリティーアップデート : RHSA-2009:1199

1. 情報漏えい(CWE-200) [NVD評価]

1. CVE-2009-2475

1. National Vulnerability Database (NVD) : CVE-2009-2475
2. Secunia Advisory : SA36176
3. Secunia Advisory : SA36180
4. Secunia Advisory : SA36199

• [2009年09月16日]
    掲載