JVNDB-2013-001786

JVNDB-2013-001786
Oracle Java SE の Java Runtime Environment における任意のコードを実行される脆弱性
概要
Oracle Java SE の Java Runtime Environment (JRE) および OpenJDK には、リフレクション、ライブラリ、toString の呼び出し、JDBC ドライバマネージャに関する処理に不備があるため、任意のコードを実行される脆弱性が存在します。本脆弱性は、CanSecWest 2013 の Pwn2Own コンペティションにおいて実証されました。
CVSS による深刻度 (CVSS とは?)
CVSS v2 による深刻度基本値: 10.0 (危険) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃前の認証要否: 不要機密性への影響(C): 全面的完全性への影響(I): 全面的可用性への影響(A): 全面的
影響を受けるシステム

オラクル JDK 7 Update 17 およびそれ以前 JRE 7 Update 17 およびそれ以前

想定される影響
第三者により、任意のコードを実行される可能性があります。
対策
ベンダ情報および参考情報を参照して適切な対策を実施してください。
ベンダ情報
Canonical Ubuntu Security Notice : USN-1806-1 Novell opensuse-security-announce : SUSE-SU-2013:0814 opensuse-updates : openSUSE-SU-2013:0777 opensuse-updates : openSUSE-SU-2013:0964 オラクル Oracle : Oracle and Java Oracle : jdk7u/jdk7u-dev/jdk / changeset Oracle Critical Patch Update : Oracle Java SE Critical Patch Update Advisory - April 2013 Oracle Critical Patch Update : Text Form of Oracle Java SE Critical Patch Update - April 2013 Risk Matrices SECURITY BLOG : April 2013 Critical Patch Update for Java SE Released ターボリナックス Turbolinux Security Advisory : TLSA-2013-2 レッドハット Red Hat Bugzilla : Bug 920247 Red Hat Security Advisory : RHSA-2013:0752 Red Hat Security Advisory : RHSA-2013:0757 富士通富士通セキュリティ情報 : Oracle Corporation Javaプラグインの脆弱性に関するお知らせ
CWEによる脆弱性タイプ一覧 CWEとは?
コード・インジェクション(CWE-94) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2013-1488
参考情報
JVN : JVNTA13-107A National Vulnerability Database (NVD) : CVE-2013-1488 IPA 重要なセキュリティ情報 : Oracle Java の脆弱性対策について(CVE-2013-2383等) JPCERT 注意喚起 : JPCERT-AT-2013-0021 US-CERT Technical Cyber Security Alert : TA13-107A 関連文書 : Pwn2Own 2013 関連文書 : Pwn2Own: Down go all the browsers - ZDNet 関連文書 : GNU/Andrew's Blog: [SECURITY] IcedTea 1.11.11 & 1.12.5 for OpenJDK 6 Released! 関連文書 : GNU/Andrew's Blog: [SECURITY] IcedTea 2.3.9 for OpenJDK 7 Released! 関連文書 : MGASA-2013-0124 関連文書 : MGASA-2013-0130
更新履歴
[2013年03月11日] 掲載 [2013年03月12日] 概要：内容を更新 [2013年04月22日] タイトル：内容を更新概要：内容を更新影響を受けるシステム：オラクル (Oracle Java SE Critical Patch Update Advisory - April 2013) の情報を更新ベンダ情報：オラクル (Oracle Java SE Critical Patch Update Advisory - April 2013) を追加ベンダ情報：オラクル (Text Form of Oracle Java SE Critical Patch Update - April 2013 Risk Matrices) を追加ベンダ情報：オラクル (April 2013 Critical Patch Update for Java SE Released) を追加ベンダ情報：富士通 (Oracle Corporation Javaプラグインの脆弱性に関するお知らせ) を追加 [2013年06月18日] 　概要：内容を更新　ベンダ情報：オラクル (jdk7u/jdk7u-dev/jdk / changeset) を追加　ベンダ情報：レッドハット (Bug 920247) を追加　ベンダ情報：レッドハット (RHSA-2013:0752) を追加　ベンダ情報：レッドハット (RHSA-2013:0757) を追加　ベンダ情報：Ubuntu (USN-1806-1) を追加　ベンダ情報：Novell (SUSE-SU-2013:0814) を追加　ベンダ情報：Novell (openSUSE-SU-2013:0777) を追加　参考情報：GNU/Andrew's Blog (IcedTea 1.11.11 & 1.12.5 for OpenJDK 6) を追加　参考情報：GNU/Andrew's Blog (IcedTea 2.3.9 for OpenJDK 7) を追加 [2013年06月28日] ベンダ情報：Novell (openSUSE-SU-2013:0964) を追加 [2013年08月12日] ベンダ情報：ターボリナックス (TLSA-2013-2) を追加 [2014年03月31日] 参考情報：関連文書 (MGASA-2013-0124) を追加参考情報：関連文書 (MGASA-2013-0130) を追加


公表日	2013/03/08
登録日	2013/03/11
最終更新日	2014/03/31

Oracle Java SE の Java Runtime Environment における任意のコードを実行される脆弱性