JVNDB-2012-002651

Oracle Java SE の Java Runtime Environment (JRE) における脆弱性

Oracle Java SE の Java Runtime Environment (JRE) には、Concurrency に関する処理に不備があるため、機密性、完全性、可用性に影響のある脆弱性が存在します。

-------------------------------------------------------------------

この脆弱性は、February 2012 Oracle CPU (http://www.oracle.com/technetwork/topics/security/javacpufeb2012-366318.html) に公開されていました。

他のベンダーやサードパーティの研究者による「AtomicReferenceArray クラスの実装は、配列が Object[] タイプであるかを確認しないため、サービス運用妨害 (JVM クラッシュ) 状態となる、または Java サンドボックスの制限を回避される脆弱性が存在する。」という主張に対して、オラクルからのコメントは出ていません。

この問題には、当初 CVE-2011-3571 が採番されていましたが、すでに CVE-2011-3571 には、異なる脆弱性が割り当てられています。

アップル

• Apple Mac OS X v10.6.8
• Apple Mac OS X v10.7.3
• Apple Mac OS X Server v10.6.8
• Apple Mac OS X Server v10.7.3

サン・マイクロシステムズ

• JDK 7 Update 2 およびそれ以前
• JDK 6 Update 30 およびそれ以前
• JDK 5.0 Update 33 およびそれ以前
• JRE 7 Update 2 およびそれ以前
• JRE 6 Update 30 およびそれ以前
• JRE 5.0 Update 33 およびそれ以前

日立

• Cosminexus Application Server Enterprise Version 6
• Cosminexus Application Server Version 5
• Cosminexus Application Server Standard Version 6
• Cosminexus Client Version 6
• Cosminexus Developer Light Version 6
• Cosminexus Developer Professional Version 6
• Cosminexus Developer Standard Version 6
• Cosminexus Developer Version 5
• Cosminexus Developer's Kit for Java(TM)
• Cosminexus Primary Server Base
• Cosminexus Server - Standard Edition Version 4
• Cosminexus Server - Web Edition Version 4
• Cosminexus Studio Version 5
• Cosminexus Studio - Web Edition Version 4
• Cosminexus Studio - Standard Edition Version 4
• HiRDB for Java(TM)/XML
• Hitachi Developer's Kit for Java
• Processing Kit for XML
• uCosminexus Application Server Enterprise
• uCosminexus Application Server Express
• uCosminexus Application Server Light
• uCosminexus Application Server Smart Edition
• uCosminexus Application Server Standard
• uCosminexus Application Server Standard-R
• uCosminexus Client
• uCosminexus Client for Plug-in
• uCosminexus Developer 01
• uCosminexus Developer Light
• uCosminexus Developer Professional
• uCosminexus Developer Professional for Plug-in
• uCosminexus Developer Standard
• uCosminexus Operator
• uCosminexus Portal Framework エントリセット
• uCosminexus Primary Server Base
• uCosminexus Service Architect
• uCosminexus Service Platform
• uCosminexus Service Platform - Messaging

第三者により、情報が漏えいする、あるいは情報を改ざんされたり、サービス運用妨害 (DoS) 攻撃が行われる可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

アップル

• Apple Security Updates : HT5228
• Apple セキュリティアップデート : HT1338 Mac OS X：ソフトウェアをアップデートする
• Apple セキュリティアップデート : HT5244 Flashback マルウェアについて
• Apple セキュリティアップデート : HT5228 Java for OS X Lion 2012-002 および Java for Mac OS X 10.6 Update 7 のセキュリティコンテンツについて
• Apple セキュリティアップデート : HT5247 Java for OS X 2012-003 および Java for Mac OS X 10.6 Update 8 のセキュリティコンテンツについて

オラクル

• Oracle Critical Patch Update : Oracle Java SE Critical Patch Update Advisory - February 2012
• Oracle Critical Patch Update : Text Form of Oracle Java SE Critical Patch Update - February 2012 Risk Matrices
• SECURITY BLOG : February 2012 Critical Patch Update for Java SE Released

レッドハット

• Red Hat Bugzilla : Bug 788994
• Red Hat Security Advisory : RHSA-2013:1455

日立

• Hitachi Software Vulnerability Information : HS12-007
• ソフトウェア製品セキュリティ情報 : HS12-007

1. 情報不足(CWE-noinfo) [NVD評価]

1. CVE-2012-0507

1. National Vulnerability Database (NVD) : CVE-2012-0507
2. 関連文書 : IKVM.NET Weblog - February 2012 Java Critical Patch Update Vulnerability Details
3. 関連文書 : Krebs on Security - New Java Attack Rolled into Exploit Packs
4. 関連文書 : Microsoft Malware Protection Center - An interesting case of JRE sandbox breach (CVE-2012-0507)

• [2012年06月11日]
    掲載
  [2015年08月11日]
    ベンダ情報：レッドハット (RHSA-2013:1455) を追加