JVNDB-2012-003918
|
Oracle Java 7 に脆弱性
|
|
Oracle が提供する Java 7 には、任意の OS コマンドが実行可能な脆弱性が存在します。
Oracle が提供する Java 7 には、Java のサンドボックスを回避され、任意の OS コマンドが実行可能な脆弱性が存在します。
なお、本脆弱性を使用した攻撃コードが公開されており、攻撃も観測されています。
|
|
CVSS v2 による深刻度
基本値: 6.8 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 部分的
- 完全性への影響(I): 部分的
- 可用性への影響(A): 部分的
|
|
以下の製品を含む、全ての Java Platform Standard Edition 7 (1.7, 1.7.0) を使用しているウェブブラウザ等のシステム
|
オラクル
- JDK 6 Update 34 およびそれ以前
- JDK 7 Update 6 およびそれ以前
- JRE 6 Update 34 およびそれ以前
- JRE 7 Update 6 およびそれ以前
サン・マイクロシステムズ
- JDK 6 Update 21 およびそれ以前
- JRE 6 Update 21 およびそれ以前
日本電気
- SecureWare/電子署名開発キット V1.3
|
日本電気社の情報によると「製品自体には影響がありませんがJRE 7 update 6およびそれ以前のJRE 7を利用している場合は影響があります。」とのことです。詳しくは、NEC製品セキュリティ情報 (NV13-001) をご確認ください。
|
|
細工された Java アプレットが埋め込まれたウェブページを開くことで、任意の OS コマンドが実行される可能性があります。
|
|
[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
[ワークアラウンドを実施する]
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
* ウェブブラウザの Java プラグインを無効にする
|
|
openSUSE project
オラクル
レッドハット
日本電気
富士通
|
|
- 情報不足(CWE-noinfo) [NVD評価]
|
|
- CVE-2012-4681
|
|
- JVN : JVNTA12-240A
- National Vulnerability Database (NVD) : CVE-2012-4681
- JPCERT 緊急報告 : JPCERT-AT-2012-0028
- US-CERT Vulnerability Note : VU#636312
- US-CERT Technical Cyber Security Alert : TA12-240A
- IPA 緊急対策情報 : Java の脆弱性の修正について(CVE-2012-4681)
|
|
- [2012年08月29日]
掲載
[2012年08月31日]
影響を受けるシステム:オラクル (Oracle Security Alert for CVE-2012-4681) の情報を更新
対策:内容を更新
ベンダ情報:オラクル (Oracle Security Alert for CVE-2012-4681) を追加
ベンダ情報:オラクル (Java SE Downloads) を追加
[2012年09月03日]
影響を受けるシステム:バージョンを訂正
[2012年09月14日]
ベンダ情報:富士通 (TA12-240A) を追加
[2012年10月23日]
ベンダ情報:openSUSE (SUSE-SU-2012:1231) を追加
[2012年11月29日]
ベンダ情報:レッドハット (RHSA-2012:1225) を追加]
[2013年01月17日]
ベンダ情報:openSUSE (SUSE-SU-2012:1398) を追加
[2013年01月23日]
影響を受けるシステム:オラクルの情報を追加
影響を受けるシステム:サン・マイクロシステムズの情報を更新
[2013年02月04日]
影響を受けるシステム:日本電気 (NV13-001) の情報を追加
ベンダ情報:日本電気 (NV13-001) の情報を追加
|
