[English]
|
JVNDB-2007-000329
|
Java Web Start において許可されていないシステムクラスが実行される脆弱性
|
サン・マイクロシステムズから提供されている JRE(Java Runtime Environment) 等に同梱されている Java Web Start には、本来許可されていないシステムクラスが実行される脆弱性が存在します。
Java Web Start は、Web を通じて Java アプリケーションを配布するためのツールであり、JRE(Java Runtime Environment) 等の Java 実行環境に同梱されています。この Java Web Start の実装に問題があり、細工された JAR ファイルを含む Java Web Start アプリケーションによって、本来実行が許可されていないシステムクラスが実行される可能性があります。
|
|
CVSS v2 による深刻度 基本値: 7.5 (危険) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 部分的
- 完全性への影響(I): 部分的
- 可用性への影響(A): 部分的
|
|
BEAシステムズ
- BEA JRockit R26.0.0 1.4.2_07 およびそれ以前
- BEA JRockit R26.0.0 1.5.0_04 およびそれ以前
アップル
- Apple Mac OS X v10.4.10
- Apple Mac OS X Server v10.4.10
アライドテレシス
サン・マイクロシステムズ
- JDK 5 Update 10 およびそれ以前
- JRE 1.4.2 Update 13 およびそれ以前
- JRE 5 Update 10 およびそれ以前
- SDK 1.4.2 Update 13 およびそれ以前
レッドハット
- Red Hat Enterprise Linux Extras 3 extras
- Red Hat Enterprise Linux Extras 4 extras
- RHEL Desktop Supplementary 5 (client)
- RHEL Supplementary 5 (server)
日本電気
- TW703000 (TW850)
- WebSAM DeploymentManager (HP-UX)
|
|
アプリケーションを実行しているユーザの権限で、任意のコマンドやコードを実行されたり、ユーザのコンピュータ上のファイルを上書きされる可能性があります。
|
ベンダが提供する対策済みバージョンに更新してください。
|
BEAシステムズ
アップル
アライドテレシス
サン・マイクロシステムズ
- Sun Alert Notification : 102881
レッドハット
日本電気
|
- 認可・権限・アクセス制御(CWE-264) [NVD評価]
|
- CVE-2007-2435
|
- JVN : JVN#44724673
- National Vulnerability Database (NVD) : CVE-2007-2435
- JPCERT 緊急報告 : JPCERT-AT-2007-0011
- JPCERT REPORT : JPCERT-WR-2007-1701
- IPA セキュリティセンター : JVN_44724673
- IPA セキュリティセンター : 200705_JWS
- Secunia Advisory : SA25069
- SecurityFocus : 23728
- ISS X-Force Database : 33984
- SecurityTracker : 1017986
- FrSIRT Advisories : FrSIRT/ADV-2007-1598
|
- [2007年05月22日]
掲載
[2007年08月10日]
影響を受けるシステム:レッドハットを更新しました。
ベンダ情報: レッドハットの情報を追加しました。
・RHSA-2007:0817
・RHSA-2007:0829
[2007年12月28日]
影響を受けるシステム:アップル (Java Release 6 for Mac OS X 10.4) の情報追加。
影響を受けるシステム:日本電気 (NV07-014) の情報追加。
ベンダ情報: アップル (Java Release 6 for Mac OS X 10.4) 追加。
ベンダ情報:日本電気(NV07-014)追加。
[2008年02月05日]
影響を受けるシステム:日本電気 (NV07-014:TW703000 (TW850))を追加しました。
[2008年06月06日]
影響を受けるシステム:アライドテレシス(Java Web Start システムクラス実行に関する脆弱性について)を追加
ベンダ情報: アライドテレシス(Java Web Start システムクラス実行に関する脆弱性について)を追加
|