【活用ガイド】

JVNDB-2013-002393

Oracle Java SE の Java Runtime Environment における 2D の処理に関する脆弱性

概要

Oracle Java SE の Java Runtime Environment (JRE) および OpenJDK には、2D に関する処理に不備があるため、機密性、完全性、可用性に影響のある脆弱性が存在します。

本情報は、April 2013 Critical Patch Update (CPU) に基づく脆弱性情報です。
他のベンダが、本脆弱性は International Components for Unicode (ICU) Layout Engine 51.2 未満における「Glyph Table の確認」に関連する問題であると主張していますが、オラクル社はコメントしていません。
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 10.0 (危険) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): 全面的
  • 可用性への影響(A): 全面的
影響を受けるシステム


アップル
  • Apple Mac OS X v10.6.8
  • Apple Mac OS X v10.7 およびそれ以降
  • Apple Mac OS X v10.8 およびそれ以降
  • Apple Mac OS X Server v10.6.8
  • Apple Mac OS X Server v10.7 およびそれ以降
オラクル
  • JDK 7 Update 17 およびそれ以前
  • JDK 6 Update 43 およびそれ以前
  • JDK 5.0 Update 41 およびそれ以前
  • JRE 7 Update 17 およびそれ以前
  • JRE 6 Update 43 およびそれ以前
  • JRE 5.0 Update 41 およびそれ以前
サン・マイクロシステムズ
  • JDK 6 Update 21 およびそれ以前
  • JDK 5.0 Update 33 およびそれ以前
  • JRE 6 Update 21 およびそれ以前
  • JRE 5.0 Update 33 およびそれ以前
日立
  • Cosminexus Application Server Enterprise Version 6
  • Cosminexus Application Server Standard Version 6
  • Cosminexus Application Server Version 5
  • Cosminexus Client Version 6
  • Cosminexus Developer Light Version 6
  • Cosminexus Developer Professional Version 6
  • Cosminexus Developer Standard Version 6
  • Cosminexus Developer Version 5
  • Cosminexus Developer's Kit for Java(TM)
  • Cosminexus Primary Server Base
  • Cosminexus Server - Standard Edition Version 4
  • Cosminexus Server - Web Edition Version 4
  • Cosminexus Studio - Standard Edition Version 4
  • Cosminexus Studio - Web Edition Version 4
  • Cosminexus Studio Version 5
  • uCosminexus Application Server Express
  • uCosminexus Application Server Light
  • uCosminexus Application Server Standard-R
  • uCosminexus Application Server -R
  • uCosminexus Application Server Enterprise
  • uCosminexus Application Server Smart Edition
  • uCosminexus Application Server Standard
  • uCosminexus Client
  • uCosminexus Client for Plug-in
  • uCosminexus Developer 01
  • uCosminexus Developer Professional
  • uCosminexus Developer Professional for Plug-in
  • uCosminexus Developer Light
  • uCosminexus Developer Standard
  • uCosminexus Operator
  • uCosminexus Primary Server Base
  • uCosminexus Server Standard-R
  • uCosminexus Service Architect
  • uCosminexus Service Platform
  • uCosminexus Service Platform - Messaging

本脆弱性の影響を受ける日立製品の詳細については、ベンダ情報 HS13-010 をご確認ください。
想定される影響

第三者により、情報を取得される、あるいは情報を改ざんされたり、サービス運用妨害 (DoS) 攻撃が行われる可能性があります。
対策

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報

Canonical ICU project Novell アップル オラクル ターボリナックス ヒューレット・パッカード レッドハット 日立
  • Hitachi Software Vulnerability Information : HS13-010
  • ソフトウェア製品セキュリティ情報 : HS13-010
富士通
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 情報不足(CWE-noinfo) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2013-1569
参考情報

  1. JVN : JVNTA13-107A
  2. National Vulnerability Database (NVD) : CVE-2013-1569
  3. IPA 重要なセキュリティ情報 : Oracle Java の脆弱性対策について(CVE-2013-2383等)
  4. JPCERT 注意喚起 : JPCERT-AT-2013-0021
  5. US-CERT Technical Cyber Security Alert : TA13-107A
  6. 関連文書 : GNU/Andrew's Blog: [SECURITY] IcedTea 1.11.11 & 1.12.5 for OpenJDK 6 Released!
  7. 関連文書 : GNU/Andrew's Blog: [SECURITY] IcedTea 2.3.9 for OpenJDK 7 Released!
  8. 関連文書 : MGASA-2013-0124
  9. 関連文書 : MGASA-2013-0130
更新履歴

  • [2013年04月22日]
      掲載
    [2013年04月24日]
      影響を受けるシステム:日立 (HS13-010) の情報を追加
      ベンダ情報:日立 (HS13-010) を追加
    [2013年06月18日]
     概要:内容を更新
     ベンダ情報:オラクル (k7u/jdk7u-dev/jdk / changeset) を追加
     ベンダ情報:レッドハット (Bug 952711) を追加
     ベンダ情報:レッドハット (RHSA-2013:0752) を追加
     ベンダ情報:レッドハット (RHSA-2013:0757) を追加
     ベンダ情報:レッドハット (RHSA-2013:0758) を追加
     ベンダ情報:Ubuntu (USN-1806-1) を追加
     ベンダ情報:Novell (SUSE-SU-2013:0814) を追加
     ベンダ情報:Novell (SUSE-SU-2013:0835) を追加
     ベンダ情報:Novell (openSUSE-SU-2013:0777) を追加
     ベンダ情報:ICU Project (Download ICU 51: Known Issues) を追加
     ベンダ情報:ICU Project (チケット #10107) を追加
     参考情報:GNU/Andrew's Blog (IcedTea 1.11.11 & 1.12.5 for OpenJDK 6) を追加
     参考情報:GNU/Andrew's Blog (IcedTea 2.3.9 for OpenJDK 7) を追加
    [2013年06月28日]
      ベンダ情報:Novell (openSUSE-SU-2013:0964) を追加
      ベンダ情報:Novell (SUSE-SU-2013:0934) を追加
      ベンダ情報:Novell (SUSE-SU-2013:0871) を追加
    [2013年08月09日]
      ベンダ情報:ターボリナックス (TLSA-2013-2) を追加
    [2013年11月08日]
      ベンダ情報:ヒューレット・パッカード (HPSBUX02889 SSRT101252) を追加
      ベンダ情報:ヒューレット・パッカード (HPSBUX02922 SSRT101305) を追加
      ベンダ情報:レッドハット (RHSA-2013:1455) を追加
      ベンダ情報:レッドハット (RHSA-2013:1456) を追加
    [2013年12月05日]
      ベンダ情報:アップル (APPLE-SA-2013-04-16-2) を追加
    [2014年03月28日]
      参考情報:関連文書 (MGASA-2013-0124) を追加
      参考情報:関連文書 (MGASA-2013-0130) を追加
    [2015年03月18日]
      影響を受けるシステム:内容を更新
    [2015年06月19日]
      ベンダ情報:オラクル (Oracle Solaris Third Party Bulletin - April 2015) を追加
    [2015年10月30日]
      ベンダ情報:オラクル (Oracle Solaris Third Party Bulletin - October 2015) を追加