【活用ガイド】

[English]

JVNDB-2007-000329

Java Web Start において許可されていないシステムクラスが実行される脆弱性

概要

サン・マイクロシステムズから提供されている JRE(Java Runtime Environment) 等に同梱されている Java Web Start には、本来許可されていないシステムクラスが実行される脆弱性が存在します。

Java Web Start は、Web を通じて Java アプリケーションを配布するためのツールであり、JRE(Java Runtime Environment) 等の Java 実行環境に同梱されています。この Java Web Start の実装に問題があり、細工された JAR ファイルを含む Java Web Start アプリケーションによって、本来実行が許可されていないシステムクラスが実行される可能性があります。

CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 7.5 (危険) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 部分的
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): 部分的
影響を受けるシステム


BEAシステムズ
  • BEA JRockit R26.0.0 1.4.2_07 およびそれ以前
  • BEA JRockit R26.0.0 1.5.0_04 およびそれ以前
アップル
  • Apple Mac OS X v10.4.10
  • Apple Mac OS X Server v10.4.10
アライドテレシス
  • SSL VPN-Plus
  • SwimRadius
サン・マイクロシステムズ
  • JDK 5 Update 10 およびそれ以前
  • JRE 1.4.2 Update 13 およびそれ以前
  • JRE 5 Update 10 およびそれ以前
  • SDK 1.4.2 Update 13 およびそれ以前
レッドハット
  • Red Hat Enterprise Linux Extras 3 extras 
  • Red Hat Enterprise Linux Extras 4 extras 
  • RHEL Desktop Supplementary 5 (client) 
  • RHEL Supplementary 5 (server) 
日本電気
  • TW703000 (TW850)
  • WebSAM DeploymentManager (HP-UX)

想定される影響

アプリケーションを実行しているユーザの権限で、任意のコマンドやコードを実行されたり、ユーザのコンピュータ上のファイルを上書きされる可能性があります。
対策

ベンダが提供する対策済みバージョンに更新してください。
ベンダ情報

BEAシステムズ アップル アライドテレシス サン・マイクロシステムズ
  • Sun Alert Notification : 102881
レッドハット 日本電気
  • NEC製品セキュリティ情報 : NV07-014
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 認可・権限・アクセス制御(CWE-264) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2007-2435
参考情報

  1. JVN : JVN#44724673
  2. National Vulnerability Database (NVD) : CVE-2007-2435
  3. JPCERT 緊急報告 : JPCERT-AT-2007-0011
  4. JPCERT REPORT : JPCERT-WR-2007-1701
  5. IPA セキュリティセンター : JVN_44724673
  6. IPA セキュリティセンター : 200705_JWS
  7. Secunia Advisory : SA25069
  8. SecurityFocus : 23728
  9. ISS X-Force Database : 33984
  10. SecurityTracker : 1017986
  11. FrSIRT Advisories : FrSIRT/ADV-2007-1598
更新履歴

  • [2007年05月22日]
      掲載
    [2007年08月10日]
      影響を受けるシステム:レッドハットを更新しました。
      ベンダ情報: レッドハットの情報を追加しました。
      ・RHSA-2007:0817
      ・RHSA-2007:0829
    [2007年12月28日]
      影響を受けるシステム:アップル (Java Release 6 for Mac OS X 10.4) の情報追加。
      影響を受けるシステム:日本電気 (NV07-014) の情報追加。
      ベンダ情報: アップル (Java Release 6 for Mac OS X 10.4) 追加。
      ベンダ情報:日本電気(NV07-014)追加。
    [2008年02月05日]
      影響を受けるシステム:日本電気 (NV07-014:TW703000 (TW850))を追加しました。
    [2008年06月06日]
      影響を受けるシステム:アライドテレシス(Java Web Start システムクラス実行に関する脆弱性について)を追加
      ベンダ情報: アライドテレシス(Java Web Start システムクラス実行に関する脆弱性について)を追加