JVNDB-2010-001330

JVNDB-2010-001330
Oracle Sun Java が Java アプレットの署名を正しく検証しない脆弱性
概要
Oracle Sun Java には、Java アプレットの署名を正しく検証しない脆弱性が存在します。本脆弱性を利用することで、署名の検証時に検知できない形で Java アプレットの改ざんが可能です。
CVSS による深刻度 (CVSS とは?)
CVSS v2 による深刻度基本値: 7.5 (危険) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃前の認証要否: 不要機密性への影響(C): 部分的完全性への影響(I): 部分的可用性への影響(A): 部分的
影響を受けるシステム

VMware VMware ESX 4.1 VMware ESX 4.0 VMware ESX 3.5 VMware ESX 3.0.3 VMware vCenter 4.1 VMware vCenter 4.0 VMware VirtualCenter 2.5 VMware vSphere Update Manager 4.1 VMware vSphere Update Manager 4.0 VMware vSphere Update Manager 1.0 アップル Apple Mac OS X v10.5.8 Apple Mac OS X v10.6.3 Apple Mac OS X Server v10.5.8 Apple Mac OS X Server v10.6.3 サン・マイクロシステムズ JDK 6 Update 18 およびそれ以前 JDK 5.0 Update 23 およびそれ以前 JRE 6 Update 18 およびそれ以前 JRE 5.0 Update 23 およびそれ以前 JRE 1.4.2_25 およびそれ以前 SDK 1.4.2_25 およびそれ以前ヒューレット・パッカード HP-UX 11.11 HP-UX 11.23 HP-UX 11.31 ミラクル・リナックス Asianux Server 3 (x86) Asianux Server 3 (x86-64) レッドハット Red Hat Enterprise Linux Extras 4 extras Red Hat Enterprise Linux Extras 4.7.z extras Red Hat Enterprise Linux Extras 4.8.z extras Red Hat Enterprise Linux Extras 3 extras RHEL Desktop Supplementary 5 (client) RHEL Supplementary 5 (server) RHEL Supplementary EUS 5.2.z (server) RHEL Supplementary EUS 5.3.z (server) RHEL Supplementary EUS 5.4.z (server)

想定される影響
署名された Java アプレットを実行することで、遠隔の第三者によって、任意のコードを実行される可能性があります。
対策
[アップデートする] Oracle が提供する情報をもとに最新版へアップデートしてください。
ベンダ情報
VMware VMware Security Advisories : VMSA-2011-0003 アップル Apple Security Updates : HT4170 Apple Security Updates : HT4171 Apple セキュリティアップデート : HT4170 Apple セキュリティアップデート : HT4171 オラクル Critical Patch Updates and Security Alerts : javacpumar2010 ヒューレット・パッカード HP Security Bulletin : HPSBUX02524 ミラクル・リナックス Asianux Technical Support Network : jdk-1.6.0_19 レッドハット Red Hat Security Advisory : RHSA-2010:0337 Red Hat Security Advisory : RHSA-2010:0338 Red Hat Security Advisory : RHSA-2010:0383 Red Hat Security Advisory : RHSA-2010:0574
CWEによる脆弱性タイプ一覧 CWEとは?
情報不足(CWE-noinfo) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2010-0087
参考情報
JVN : JVNVU#507652 National Vulnerability Database (NVD) : CVE-2010-0087 US-CERT Vulnerability Note : VU#507652 SecurityFocus : 39068
更新履歴
[2010年04月23日] 掲載 [2010年05月24日] 影響を受けるシステム：アップル (HT4170) の情報を追加影響を受けるシステム：アップル (HT4171) の情報を追加ベンダ情報：アップル (HT4170) を追加ベンダ情報：アップル (HT4171) を追加ベンダ情報：レッドハット (RHSA-2010:0383) を追加 [2010年06月14日] 影響を受けるシステム：ヒューレット・パッカード (HPSBUX02524) の情報を追加ベンダ情報：ヒューレット・パッカード (HPSBUX02524) を追加 [2010年08月13日] 影響を受けるシステム：レッドハット (RHSA-2010:0574) の情報を追加ベンダ情報：レッドハット (RHSA-2010:0574) を追加 [2011年03月10日] 影響を受けるシステム：VMware (VMSA-2011-0003) の情報を追加ベンダ情報：VMware (VMSA-2011-0003) を追加 [2011年03月11日] 影響を受けるシステム：VMware (VMSA-2011-0003) の情報を追加ベンダ情報：VMware (VMSA-2011-0003) を追加


公表日	2010/04/06
登録日	2010/04/23
最終更新日	2011/03/11

Oracle Sun Java が Java アプレットの署名を正しく検証しない脆弱性