JVNDB-2007-000329

Java Web Start において許可されていないシステムクラスが実行される脆弱性

サン・マイクロシステムズから提供されている JRE(Java Runtime Environment) 等に同梱されている Java Web Start には、本来許可されていないシステムクラスが実行される脆弱性が存在します。

Java Web Start は、Web を通じて Java アプリケーションを配布するためのツールであり、JRE(Java Runtime Environment) 等の Java 実行環境に同梱されています。この Java Web Start の実装に問題があり、細工された JAR ファイルを含む Java Web Start アプリケーションによって、本来実行が許可されていないシステムクラスが実行される可能性があります。

BEAシステムズ

• BEA JRockit R26.0.0 1.4.2_07 およびそれ以前
• BEA JRockit R26.0.0 1.5.0_04 およびそれ以前

アップル

• Apple Mac OS X v10.4.10
• Apple Mac OS X Server v10.4.10

アライドテレシス

• SSL VPN-Plus
• SwimRadius

サン・マイクロシステムズ

• JDK 5 Update 10 およびそれ以前
• JRE 1.4.2 Update 13 およびそれ以前
• JRE 5 Update 10 およびそれ以前
• SDK 1.4.2 Update 13 およびそれ以前

レッドハット

• Red Hat Enterprise Linux Extras 3 extras 
• Red Hat Enterprise Linux Extras 4 extras 
• RHEL Desktop Supplementary 5 (client) 
• RHEL Supplementary 5 (server) 

日本電気

• TW703000 (TW850)
• WebSAM DeploymentManager (HP-UX)

アプリケーションを実行しているユーザの権限で、任意のコマンドやコードを実行されたり、ユーザのコンピュータ上のファイルを上書きされる可能性があります。

ベンダが提供する対策済みバージョンに更新してください。

BEAシステムズ

• BEA Security Advisory : BEA07-173.00
• BEA セキュリティアドバイザリ : BEA07-173.00

アップル

• Apple Security Updates : Java Release 6 for Mac OS X 10.4
• Apple セキュリティアップデート : Java Release 6 for Mac OS X 10.4

アライドテレシス

• セキュリティ・脆弱性について : Java Web Start システムクラス実行に関する脆弱性について

サン・マイクロシステムズ

• Sun Alert Notification : 102881

レッドハット

• Red Hat Security Advisory : RHSA-2007:0817
• Red Hat Security Advisory : RHSA-2007:0829
• レッドハット セキュリティーアップデート : RHSA-2007:0817
• レッドハット セキュリティーアップデート : RHSA-2007:0829

日本電気

• NEC製品セキュリティ情報 : NV07-014

1. 認可・権限・アクセス制御(CWE-264) [NVD評価]

1. CVE-2007-2435

1. JVN : JVN#44724673
2. National Vulnerability Database (NVD) : CVE-2007-2435
3. JPCERT 緊急報告 : JPCERT-AT-2007-0011
4. JPCERT REPORT : JPCERT-WR-2007-1701
5. IPA セキュリティセンター : JVN_44724673
6. IPA セキュリティセンター : 200705_JWS
7. Secunia Advisory : SA25069
8. SecurityFocus : 23728
9. ISS X-Force Database : 33984
10. SecurityTracker : 1017986
11. FrSIRT Advisories : FrSIRT/ADV-2007-1598

• [2007年05月22日]
    掲載
  [2007年08月10日]
    影響を受けるシステム：レッドハットを更新しました。
    ベンダ情報: レッドハットの情報を追加しました。
    ・RHSA-2007:0817
    ・RHSA-2007:0829
  [2007年12月28日]
    影響を受けるシステム：アップル (Java Release 6 for Mac OS X 10.4) の情報追加。
    影響を受けるシステム：日本電気 (NV07-014) の情報追加。
    ベンダ情報: アップル (Java Release 6 for Mac OS X 10.4) 追加。
    ベンダ情報：日本電気（NV07-014）追加。
  [2008年02月05日]
    影響を受けるシステム：日本電気 (NV07-014:TW703000 (TW850))を追加しました。
  [2008年06月06日]
    影響を受けるシステム：アライドテレシス(Java Web Start システムクラス実行に関する脆弱性について)を追加
    ベンダ情報: アライドテレシス(Java Web Start システムクラス実行に関する脆弱性について)を追加