JVNDB-2013-001784

Oracle Java SE の Java Runtime Environment における任意のコードを実行される脆弱性

Oracle Java SE の Java Runtime Environment (JRE) および OpenJDK には、AWT に関する処理に不備があるため、任意のコードを実行される脆弱性が存在します。

本脆弱性は、CanSecWest 2013 の Pwn2Own コンペティションにおいて実証されました。

本情報は、April 2013 Critical Patch Update (CPU) に基づく脆弱性情報です。他のベンダが、本脆弱性は sun.awt.datatransfer.ClassLoaderObjectInputStream クラスによるシステムクラスローダの起動に関連する問題であり、第三者によってサンドボックスの制限を回避される可能性があると主張していますが、オラクル社はコメントしていません。

オラクル

• JDK 5.0 Update 41 およびそれ以前
• JDK 6 Update 43 およびそれ以前
• JDK 7 Update 17 およびそれ以前
• JRE 5.0 Update 41 およびそれ以前
• JRE 6 Update 43 およびそれ以前
• JRE 7 Update 17 およびそれ以前

日立

• Cosminexus Application Server Enterprise Version 6
• Cosminexus Application Server Standard Version 6
• Cosminexus Application Server Version 5
• Cosminexus Client Version 6
• Cosminexus Developer Light Version 6
• Cosminexus Developer Professional Version 6
• Cosminexus Developer Standard Version 6
• Cosminexus Developer Version 5
• Cosminexus Developer's Kit for Java(TM)
• Cosminexus Primary Server Base
• Cosminexus Server - Standard Edition Version 4
• Cosminexus Server - Web Edition Version 4
• Cosminexus Studio - Standard Edition Version 4
• Cosminexus Studio - Web Edition Version 4
• Cosminexus Studio Version 5
• uCosminexus Application Server Express
• uCosminexus Application Server Light
• uCosminexus Application Server Standard-R
• uCosminexus Application Server -R
• uCosminexus Application Server Enterprise
• uCosminexus Application Server Smart Edition
• uCosminexus Application Server Standard
• uCosminexus Client
• uCosminexus Client for Plug-in
• uCosminexus Developer 01
• uCosminexus Developer Professional
• uCosminexus Developer Professional for Plug-in
• uCosminexus Developer Light
• uCosminexus Developer Standard
• uCosminexus Operator
• uCosminexus Primary Server Base
• uCosminexus Server Standard-R
• uCosminexus Service Architect
• uCosminexus Service Platform
• uCosminexus Service Platform - Messaging

本脆弱性の影響を受ける日立製品の詳細については、ベンダ情報 HS13-010 をご確認ください。

第三者により、任意のコードを実行される可能性があります。

ベンダ情報および参考情報を参照して適切な対策を実施してください。

Canonical

• Ubuntu Security Notice : USN-1806-1

Novell

• opensuse-security-announce : SUSE-SU-2013:0835
• opensuse-security-announce : SUSE-SU-2013:0814
• opensuse-security-announce : SUSE-SU-2013:0871
• opensuse-updates : openSUSE-SU-2013:0777
• opensuse-updates : openSUSE-SU-2013:0964

オラクル

• Oracle : Oracle and Java
• Oracle : jdk7u/jdk7u-dev/jdk / changeset
• Oracle Critical Patch Update : Oracle Java SE Critical Patch Update Advisory - April 2013
• Oracle Critical Patch Update : Text Form of Oracle Java SE Critical Patch Update - April 2013 Risk Matrices
• SECURITY BLOG : April 2013 Critical Patch Update for Java SE Released

ターボリナックス

• Turbolinux Security Advisory : TLSA-2013-2

ヒューレット・パッカード

• HP Security Bulletin : HPSBUX02889 SSRT101252
• HP Security Bulletin : HPSBUX02922 SSRT101305

レッドハット

• Red Hat Bugzilla : Bug 920245
• Red Hat Security Advisory : RHSA-2013:0758
• Red Hat Security Advisory : RHSA-2013:0757
• Red Hat Security Advisory : RHSA-2013:0752
• Red Hat Security Advisory : RHSA-2013:1455
• Red Hat Security Advisory : RHSA-2013:1456

日立

• Hitachi Software Vulnerability Information : HS13-010
• ソフトウェア製品セキュリティ情報 : HS13-010

富士通

• 富士通 セキュリティ情報 : Oracle Corporation Javaプラグインの脆弱性に関するお知らせ

1. コード・インジェクション(CWE-94) [NVD評価]

1. CVE-2013-0401

1. JVN : JVNTA13-107A
2. National Vulnerability Database (NVD) : CVE-2013-0401
3. IPA 重要なセキュリティ情報 : Oracle Java の脆弱性対策について(CVE-2013-2383等)
4. JPCERT 注意喚起 : JPCERT-AT-2013-0021
5. US-CERT Technical Cyber Security Alert : TA13-107A
6. 関連文書 : Pwn2Own 2013
7. 関連文書 : Pwn2Own: Down go all the browsers - ZDNet
8. 関連文書 : GNU/Andrew's Blog: [SECURITY] IcedTea 1.11.11 & 1.12.5 for OpenJDK 6 Released!
9. 関連文書 : GNU/Andrew's Blog: [SECURITY] IcedTea 2.3.9 for OpenJDK 7 Released!
10. 関連文書 : MGASA-2013-0124
11. 関連文書 : MGASA-2013-0130

• [2013年03月11日]
    掲載
  [2013年03月12日]
    概要：内容を更新
  [2013年04月22日]
    タイトル：内容を更新
    概要：内容を更新
    影響を受けるシステム：オラクル (Oracle Java SE Critical Patch Update Advisory - April 2013) の情報を更新
    ベンダ情報：オラクル (Oracle Java SE Critical Patch Update Advisory - April 2013) を追加
    ベンダ情報：オラクル (Text Form of Oracle Java SE Critical Patch Update - April 2013 Risk Matrices) を追加
    ベンダ情報：オラクル (April 2013 Critical Patch Update for Java SE Released) を追加
    ベンダ情報：富士通 (Oracle Corporation Javaプラグインの脆弱性に関するお知らせ) を追加
  [2013年04月24日]
    影響を受けるシステム：日立 (HS13-010) の情報を追加
    ベンダ情報：日立 (HS13-010) を追加
  [2013年06月12日]
    ベンダ情報：レッドハット (Bug 920245) を追加
    ベンダ情報：Ubuntu (USN-1806-1) を追加
    ベンダ情報：レッドハット (RHSA-2013:0758) を追加
    ベンダ情報：レッドハット (RHSA-2013:0757) を追加
    ベンダ情報：レッドハット (RHSA-2013:0752) を追加
    ベンダ情報：Novell (openSUSE-SU-2013:0777) を追加
    ベンダ情報：Novell (SUSE-SU-2013:0835) を追加
    ベンダ情報：Novell (SUSE-SU-2013:0814) を追加
    ベンダ情報：Oracle (jdk7u/jdk7u-dev/jdk / changeset) を追加
  [2013年06月18日]
  　概要：内容を更新
  　参考情報：GNU/Andrew's Blog (IcedTea 1.11.11 & 1.12.5 for OpenJDK 6) を追加
  　参考情報：GNU/Andrew's Blog (IcedTea 2.3.9 for OpenJDK 7) を追加
  [2013年06月27日]
    ベンダ情報：Novell (openSUSE-SU-2013:0964) を追加
    ベンダ情報：Novell (SUSE-SU-2013:0871) を追加
  [2013年08月12日]
    ベンダ情報：ターボリナックス (TLSA-2013-2) を追加
  [2013年11月18日]
    ベンダ情報：ヒューレット・パッカード (HPSBUX02889 SSRT101252) を追加
    ベンダ情報：ヒューレット・パッカード (HPSBUX02922 SSRT101305) を追加
    ベンダ情報：レッドハット (RHSA-2013:1455) を追加
    ベンダ情報：レッドハット (RHSA-2013:1456) を追加
  [2014年03月31日]
    参考情報：関連文書 (MGASA-2013-0124) を追加
    参考情報：関連文書 (MGASA-2013-0130) を追加
  [2015年03月18日]
    影響を受けるシステム：内容を更新