【活用ガイド】

JVNDB-2012-003918

Oracle Java 7 に脆弱性

概要

Oracle が提供する Java 7 には、任意の OS コマンドが実行可能な脆弱性が存在します。

Oracle が提供する Java 7 には、Java のサンドボックスを回避され、任意の OS コマンドが実行可能な脆弱性が存在します。

なお、本脆弱性を使用した攻撃コードが公開されており、攻撃も観測されています。
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 6.8 (警告) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 中
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 部分的
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): 部分的
影響を受けるシステム

以下の製品を含む、全ての Java Platform Standard Edition 7 (1.7, 1.7.0) を使用しているウェブブラウザ等のシステム

オラクル
  • JDK 6 Update 34 およびそれ以前
  • JDK 7 Update 6 およびそれ以前
  • JRE 6 Update 34 およびそれ以前
  • JRE 7 Update 6 およびそれ以前
サン・マイクロシステムズ
  • JDK 6 Update 21 およびそれ以前
  • JRE 6 Update 21 およびそれ以前
日本電気
  • SecureWare/電子署名開発キット V1.3


日本電気社の情報によると「製品自体には影響がありませんがJRE 7 update 6およびそれ以前のJRE 7を利用している場合は影響があります。」とのことです。詳しくは、NEC製品セキュリティ情報 (NV13-001) をご確認ください。
想定される影響

細工された Java アプレットが埋め込まれたウェブページを開くことで、任意の OS コマンドが実行される可能性があります。
対策

[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。

[ワークアラウンドを実施する]
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

 * ウェブブラウザの Java プラグインを無効にする
ベンダ情報

openSUSE project オラクル レッドハット 日本電気
  • NEC製品セキュリティ情報 : NV13-001
富士通
  • 富士通 セキュリティ情報 : TA12-240A
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 情報不足(CWE-noinfo) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2012-4681
参考情報

  1. JVN : JVNTA12-240A
  2. National Vulnerability Database (NVD) : CVE-2012-4681
  3. JPCERT 緊急報告 : JPCERT-AT-2012-0028
  4. US-CERT Vulnerability Note : VU#636312
  5. US-CERT Technical Cyber Security Alert : TA12-240A
  6. IPA 緊急対策情報 : Java の脆弱性の修正について(CVE-2012-4681)
更新履歴

  • [2012年08月29日]
      掲載
    [2012年08月31日]
      影響を受けるシステム:オラクル (Oracle Security Alert for CVE-2012-4681) の情報を更新
      対策:内容を更新
      ベンダ情報:オラクル (Oracle Security Alert for CVE-2012-4681) を追加
      ベンダ情報:オラクル (Java SE Downloads) を追加
    [2012年09月03日]
      影響を受けるシステム:バージョンを訂正
    [2012年09月14日]
      ベンダ情報:富士通 (TA12-240A) を追加
    [2012年10月23日]
      ベンダ情報:openSUSE (SUSE-SU-2012:1231) を追加
    [2012年11月29日]
      ベンダ情報:レッドハット (RHSA-2012:1225) を追加]
    [2013年01月17日]
      ベンダ情報:openSUSE (SUSE-SU-2012:1398) を追加
    [2013年01月23日]
      影響を受けるシステム:オラクルの情報を追加
      影響を受けるシステム:サン・マイクロシステムズの情報を更新
    [2013年02月04日]
      影響を受けるシステム:日本電気 (NV13-001) の情報を追加
      ベンダ情報:日本電気 (NV13-001) の情報を追加