-----BEGIN PGP SIGNED MESSAGE----- 各位 JPCERT-AT-2007-0011 JPCERT/CC 2007-05-08(初版) 2007-05-09(更新) <<< JPCERT/CC Alert 2007-05-08 >>> Java Web Start の脆弱性に関する注意喚起 Vulnerability in Java Web Start http://www.jpcert.or.jp/at/2007/at070011.txt I. 概要 Sun Microsystems が提供する Java Web Start には、権限昇格の脆弱性が あります。結果として、遠隔の第三者が細工された Java Web Start アプリケー ションを利用して、本来許可されていないシステムクラスを実行する可能性が あります。 Java Web Start は、Web を通じて Java アプリケーションを配布するため のツールであり、JRE (Java Runtime Environment) 等の Java 実行環境に同 梱されています。 II. 対象 対象となる製品とバージョンは以下の通りです。 - SDK 1.4.2 Update 13 およびそれ以前 - JDK 5 Update 10 およびそれ以前 - JRE 1.4.2 Update 13 およびそれ以前 - JRE 5 Update 10 およびそれ以前 ご使用の製品のバージョンは以下のコマンドを実行することで確認すること ができます。Windows ではコマンドプロンプトから実行して下さい。 % java -fullversion 詳しくはベンダの提供する情報をご確認下さい。 III. 対策 この問題を解決するためには、Sun Microsystems が提供する対策済みのソ フトウェアに更新してください。詳細に関しては、下記の情報を参照してくだ さい。 Sun Alert #102881 Security Vulnerability With Java Web Start Related to Incorrect Use of System Classes http://sunsolve.sun.com/search/document.do?assetkey=1-26-102881-1 Windows で JRE をお使いの場合、Java Update を利用することで容易にバー ジョンアップ可能です。 Java.com Java Update とは何ですか。 http://www.java.com/ja/download/help/5000020700.xml IV. 参考情報 Japan Vulnerability Notes JVN#44724673 Java Web Start において許可されていないシステムクラスが実行される脆弱性 http://jvn.jp/jp/JVN%2344724673/index.html 独立行政法人 情報処理推進機構 セキュリティセンター JVN#44724673「Java Web Start」において許可されていないシステムクラスが実行される脆弱性 http://www.ipa.go.jp/security/vuln/documents/2007/JVN_44724673.html 今回の件につきまして当方まで提供いただける情報がございましたら、ご連 絡ください。 __________ 改訂履歴 2007-05-08 初版 2007-05-09 参考情報の URL のタイトルを修正 ====================================================================== JPCERT コーディネーションセンター (JPCERT/CC) MAIL: info@jpcert.or.jp TEL: 03-3518-4600 FAX: 03-3518-4602 http://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBRkEmm4x1ay4slNTtAQEpsAQAuiIUfVT9FMGg8Zu60ZE8f+SM3RIOxsqr S0W/PFz+JW+Wb80KPeNXQ/cA6HkhJkNTizWIK3pWQzIrND85po2M4xzpPu9Wvmo0 fqEkCECQ4WO0SGk1I9+dowIEH2Q/mUBa/4GFHD8YBx9X7LNEDVn1qRToOf2+jotV XtHR1TJNDKI= =vBUl -----END PGP SIGNATURE-----