JVNDB-2013-002378

JVNDB-2013-002378
Oracle Java SE の Java Runtime Environment における RMI の処理に関する脆弱性
概要
Oracle Java SE の Java Runtime Environment (JRE) および OpenJDK には、RMI に関する処理に不備があるため、機密性、完全性、可用性に影響のある脆弱性が存在します。本情報は、April 2013 Critical Patch Update (CPU) に基づく脆弱性情報です。他のベンダが、本脆弱性は LogStream.setDefaultStream メソッドにおける「セキュリティ上の制限の欠如」に関連する問題であると主張していますが、オラクル社はコメントしていません。
CVSS による深刻度 (CVSS とは?)
CVSS v2 による深刻度基本値: 10.0 (危険) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃前の認証要否: 不要機密性への影響(C): 全面的完全性への影響(I): 全面的可用性への影響(A): 全面的
影響を受けるシステム

アップル Apple Mac OS X v10.6.8 Apple Mac OS X v10.7 およびそれ以降 Apple Mac OS X v10.8 およびそれ以降 Apple Mac OS X Server v10.6.8 Apple Mac OS X Server v10.7 およびそれ以降オラクル JDK 7 Update 17 およびそれ以前 JDK 6 Update 43 およびそれ以前 JDK 5.0 Update 41 およびそれ以前 JRE 7 Update 17 およびそれ以前 JRE 6 Update 43 およびそれ以前 JRE 5.0 Update 41 およびそれ以前サン・マイクロシステムズ JDK 6 Update 21 およびそれ以前 JDK 5.0 Update 33 およびそれ以前 JRE 6 Update 21 およびそれ以前 JRE 5.0 Update 33 およびそれ以前日立 Cosminexus Application Server Enterprise Version 6 Cosminexus Application Server Standard Version 6 Cosminexus Application Server Version 5 Cosminexus Client Version 6 Cosminexus Developer Light Version 6 Cosminexus Developer Professional Version 6 Cosminexus Developer Standard Version 6 Cosminexus Developer Version 5 Cosminexus Developer's Kit for Java(TM) Cosminexus Primary Server Base Cosminexus Server - Standard Edition Version 4 Cosminexus Server - Web Edition Version 4 Cosminexus Studio - Standard Edition Version 4 Cosminexus Studio - Web Edition Version 4 Cosminexus Studio Version 5 uCosminexus Application Server Express uCosminexus Application Server Light uCosminexus Application Server Standard-R uCosminexus Application Server -R uCosminexus Application Server Enterprise uCosminexus Application Server Smart Edition uCosminexus Application Server Standard uCosminexus Client uCosminexus Client for Plug-in uCosminexus Developer 01 uCosminexus Developer Professional uCosminexus Developer Professional for Plug-in uCosminexus Developer Light uCosminexus Developer Standard uCosminexus Operator uCosminexus Primary Server Base uCosminexus Server Standard-R uCosminexus Service Architect uCosminexus Service Platform uCosminexus Service Platform - Messaging
本脆弱性の影響を受ける日立製品の詳細については、ベンダ情報 HS13-010 をご確認ください。
想定される影響
第三者により、情報を取得される、あるいは情報を改ざんされたり、サービス運用妨害 (DoS) 攻撃が行われる可能性があります。
対策
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報
Canonical Ubuntu Security Notice : USN-1806-1 IBM IBM Support Document : IV40772 IBM Support Document : 1645566 Novell opensuse-security-announce : SUSE-SU-2013:0814 opensuse-security-announce : SUSE-SU-2013:0835 opensuse-security-announce : SUSE-SU-2013:0934 opensuse-security-announce : SUSE-SU-2013:0871 opensuse-updates : openSUSE-SU-2013:0777 opensuse-updates : openSUSE-SU-2013:0964 アップル Apple Mailing Lists : APPLE-SA-2013-04-16-2 Apple Security Updates : HT5734 Apple セキュリティアップデート : HT5734 オラクル Oracle : jdk7u/jdk7u-dev/jdk / changeset Oracle Critical Patch Update : Oracle Java SE Critical Patch Update Advisory - April 2013 Oracle Critical Patch Update : Text Form of Oracle Java SE Critical Patch Update - April 2013 Risk Matrices SECURITY BLOG : April 2013 Critical Patch Update for Java SE Released ターボリナックス Turbolinux Security Advisory : TLSA-2013-2 ヒューレット・パッカード HP Support document : HPSBUX02889 SSRT101252 HP Support document : HPSBUX02922 SSRT101305 レッドハット Red Hat Bugzilla : Bug 952648 Red Hat Security Advisory : RHSA-2013:0752 Red Hat Security Advisory : RHSA-2013:0757 Red Hat Security Advisory : RHSA-2013:0758 Red Hat Security Advisory : RHSA-2013:1455 Red Hat Security Advisory : RHSA-2013:1456 日立 Hitachi Software Vulnerability Information : HS13-010 ソフトウェア製品セキュリティ情報 : HS13-010 富士通富士通セキュリティ情報 : Oracle Corporation Javaプラグインの脆弱性に関するお知らせ
CWEによる脆弱性タイプ一覧 CWEとは?
情報不足(CWE-noinfo) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2013-1557
参考情報
JVN : JVNTA13-107A National Vulnerability Database (NVD) : CVE-2013-1557 IPA 重要なセキュリティ情報 : Oracle Java の脆弱性対策について(CVE-2013-2383等) JPCERT 注意喚起 : JPCERT-AT-2013-0021 US-CERT Technical Cyber Security Alert : TA13-107A 関連文書 : GNU/Andrew's Blog: [SECURITY] IcedTea 1.11.11 & 1.12.5 for OpenJDK 6 Released! 関連文書 : GNU/Andrew's Blog: [SECURITY] IcedTea 2.3.9 for OpenJDK 7 Released! 関連文書 : MGASA-2013-0124 関連文書 : MGASA-2013-0130
更新履歴
[2013年04月22日] 掲載 [2013年04月24日] 影響を受けるシステム：日立 (HS13-010) の情報を追加ベンダ情報：日立 (HS13-010) を追加 [2013年06月18日] 　概要：内容を更新　ベンダ情報：オラクル (jdk7u/jdk7u-dev/jdk / changeset) を追加　ベンダ情報：レッドハット (Bug 952648) を追加　ベンダ情報：レッドハット (RHSA-2013:0752) を追加　ベンダ情報：レッドハット (RHSA-2013:0757) を追加　ベンダ情報：レッドハット (RHSA-2013:0758) を追加　ベンダ情報：Ubuntu (USN-1806-1) を追加　ベンダ情報：Novell (SUSE-SU-2013:0814) を追加　ベンダ情報：Novell (SUSE-SU-2013:0835) を追加　ベンダ情報：Novell (openSUSE-SU-2013:0777) を追加　ベンダ情報：IBM (IV40772) を追加　参考情報：GNU/Andrew's Blog (IcedTea 1.11.11 & 1.12.5 for OpenJDK 6) を追加　参考情報：GNU/Andrew's Blog (IcedTea 2.3.9 for OpenJDK 7) を追加 [2013年06月28日] ベンダ情報：Novell (openSUSE-SU-2013:0964) を追加ベンダ情報：Novell (SUSE-SU-2013:0934) を追加ベンダ情報：Novell (SUSE-SU-2013:0871) を追加 [2013年08月12日] ベンダ情報：ターボリナックス (TLSA-2013-2) を追加 [2013年11月08日] ベンダ情報：ヒューレット・パッカード (HPSBUX02889 SSRT101252) を追加ベンダ情報：ヒューレット・パッカード (HPSBUX02922 SSRT101305) を追加ベンダ情報：レッドハット (RHSA-2013:1455) を追加ベンダ情報：レッドハット (RHSA-2013:1456) を追加ベンダ情報：IBM (1645566) を追加 [2013年12月05日] ベンダ情報：アップル (APPLE-SA-2013-04-16-2) を追加 [2014年03月28日] 参考情報：関連文書 (MGASA-2013-0124) を追加参考情報：関連文書 (MGASA-2013-0130) を追加 [2015年03月18日] 影響を受けるシステム：内容を更新


公表日	2013/04/16
登録日	2013/04/22
最終更新日	2015/03/18

Oracle Java SE の Java Runtime Environment における RMI の処理に関する脆弱性