-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2018-0042
                                                             JPCERT/CC
                                                      2018-10-17(新規)
                                                      2018-10-19(更新)

                  <<< JPCERT/CC Alert 2018-10-17 >>>

2018年10月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起

            https://www.jpcert.or.jp/at/2018/at180042.html


I. 概要
2018年10月16日(現地時間)、Oracle は、複数の製品に対するクリティカルパッ
チアップデートに関する情報を公開しました。

    Oracle Critical Patch Update Advisory - October 2018
    https://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html

脆弱性を悪用された場合、リモートからの攻撃によってアプリケーションが不
正終了したり、任意のコードが実行されたりするなどの恐れがあります。対象
となる製品を利用している場合には、アップデートの適用等を検討してくださ
い。


II. 対象
対象として、次の製品およびバージョンが含まれています。

  - Java SE JDK/JRE 8 Update 182 およびそれ以前 ※
  - Java SE JDK/JRE 11
  - Oracle Database Server 11.2.0.4
  - Oracle Database Server 12.1.0.2
  - Oracle Database Server 12.2.0.1
  - Oracle Database Server 18c
  - Oracle WebLogic Server 10.3.6.0
  - Oracle WebLogic Server 12.1.3.0
  - Oracle WebLogic Server 12.2.1.3

※ 現時点での Oracle 社のアドバイザリによると、対象バージョンは 8u182
と記載されておりますが、リリースノートでは確認できないバージョンとなっ
ております。

    Oracle Corporation
    Release Notes for JDK 8 and JDK 8 Update Releases
    https://www.oracle.com/technetwork/java/javase/8all-relnotes-2226344.html

** 更新: 2018年10月19日追記 ******************************************
2018年10月17日 (現地時間) Oracle 社のアドバイザリが更新され、Java SE
JDK/JRE 8 の対象バージョンが「8u181 およびそれ以前」に修正されました。
**********************************************************************

ただし、対象となる製品およびバージョンは多岐に渡りますので、正確な情
報は Oracle の情報を参照してください。

また、PC に Java JRE がプリインストールされている場合や、サーバで使用
するソフトウエア製品に、WebLogic を使用している場合もあります。利用中
の PC やサーバに対象となる製品が含まれていないかについても確認してくだ
さい。

なお、Oracle によると Java SE について、既に公式アップデートを終了して
いる Java SE JDK/JRE 6 および 7 も脆弱性の影響を受けるとのことです。


III. 対策
Oracle からそれぞれの製品に対して、修正済みソフトウエアが公開されてい
ます。Java SE 及び WebLogic では、次のバージョンが公開されています。

  - Java SE JDK/JRE 8 Update 191
  - Java SE JDK/JRE 11.0.1
  - Oracle Database Server 11.2.0.4 ※
  - Oracle Database Server 12.1.0.2 ※
  - Oracle Database Server 12.2.0.1 ※
  - Oracle Database Server 18c      ※
  - Oracle WebLogic Server 10.3.6.0 ※
  - Oracle WebLogic Server 12.1.3.0 ※
  - Oracle WebLogic Server 12.2.1.3 ※

※ 対策が施されたパッチ情報の詳細については、10月17日時点の公開情報では
確認できませんでしたので、Oracle 社等に確認してください。

製品をアップデートした場合、対象製品を利用する他のアプリケーションが正
常に動作しなくなる可能性があります。利用するアプリケーションへの影響を
考慮した上で、更新してください。

    Java SE Downloads
    https://www.oracle.com/technetwork/java/javase/downloads/index.html

    無料Javaのダウンロード
    https://java.com/ja/download/

また、32bit 版 JDK/JRE、64bit 版 JDK/JRE のいずれか、または両方がイン
ストールされている場合がありますので、利用している JDK/JRE をご確認の
上、修正済みソフトウエアを適用してください。

お使いの Java のバージョンは次のページで確認可能です。32bit 版、64bit 版
の両方の Java をインストールしている場合は、それぞれ 32bit 版、64bit 版
のブラウザでバージョンを確認してください。(Java がインストールされてい
ない環境では、Java のインストールが要求される可能性があります。不要な場
合は、インストールしないように注意してください。)

    Java のバージョンの確認
    https://www.java.com/ja/download/installed.jsp


IV. 参考情報
    Oracle Corporation
    Oracle Critical Patch Update Advisory - October 2018
    https://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html

    Oracle Corporation
    Release Notes for JDK 8 and JDK 8 Update Releases
    https://www.oracle.com/technetwork/java/javase/8all-relnotes-2226344.html

    Oracle Corporation
    Java Development Kit 11 Release Notes
    https://www.oracle.com/technetwork/java/javase/11u-relnotes-5093844.html

    Oracle Corporation
    Oracle Critical Patch Update for October 2018
    https://blogs.oracle.com/portalsproactive/oracle-critical-patch-update-for-october-2018

    日本オラクル株式会社
    Oracle Java SE サポート・ロードマップ
    https://www.oracle.com/technetwork/jp/java/eol-135779-ja.html

    US-CERT
    Oracle Releases October 2018 Security Bulletin
    https://www.us-cert.gov/ncas/current-activity/2018/10/16/Oracle-Releases-October-2018-Security-Bulletin


今回の件につきまして当センターまで提供いただける情報がございましたら、
ご連絡ください。

________
改訂履歴
2018-10-17 初版
2018-10-19 「II. 対象」の修正

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600  FAX: 03-3518-4602
https://www.jpcert.or.jp/
-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJbyVf7AAoJEDF9l6Rp7OBIKRgH/1N5/UVYhJOk40Jx+Oawtr8c
vXlYWfra2PgYtEfyTodLzt/mtlgDrriMw8/xE2S5Ro9qUFKCGXJuqrMN8mixmaSM
8utxcOuip0I0qOqxDRe/W6RqIswZfYr0m2+2lShiobDe2suuvmqL1+rMIVchRHMp
42ihMoMHrSFAsZgC2FHAWNYA5hYNGwcrmSV0q/pK1aQVkKxbV1hXubeOpVFGDcjA
VJ5u98CrdW/IpDStzUHLPxZyXxibmkY4p/c+e3NbfcDfrSzXh74aHJbdMLwVIY1x
rbydRsEzht1xQfhd8SbF7rDMRv8FeD1ChDZkR3JjlYoKBR6bkXMXeeE793p8h2c=
=xuMa
-----END PGP SIGNATURE-----