-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2019-0003 JPCERT/CC 2019-01-16 <<< JPCERT/CC Alert 2019-01-16 >>> 2019年 1月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起 https://www.jpcert.or.jp/at/2019/at190003.html I. 概要 2019年 1月15日(現地時間)、Oracle は、複数の製品に対するクリティカルパッ チアップデートに関する情報を公開しました。 Oracle Critical Patch Update Advisory - January 2019 https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html 脆弱性を悪用された場合、リモートからの攻撃によってアプリケーションが不 正終了したり、任意のコードが実行されたりするなどの恐れがあります。対象 となる製品を利用している場合には、アップデートの適用等を検討してくださ い。 II. 対象 対象として、次の製品およびバージョンが含まれています。 - Java SE JDK/JRE 8 Update 192 およびそれ以前 - Java SE JDK/JRE 11.0.1 およびそれ以前 - Oracle Database Server 11.2.0.4 - Oracle Database Server 12.1.0.2 - Oracle Database Server 12.2.0.1 - Oracle Database Server 18c - Oracle WebLogic Server 10.3.6.0 - Oracle WebLogic Server 12.1.3.0 - Oracle WebLogic Server 12.2.1.3 ただし、対象となる製品およびバージョンは多岐に渡りますので、正確な情 報は Oracle の情報を参照してください。 また、PC に Java JRE がプリインストールされている場合や、サーバで使用 するソフトウエア製品に、WebLogic を使用している場合もあります。利用中 の PC やサーバに対象となる製品が含まれていないかについても確認してくだ さい。 なお、Oracle によると Java SE について、既に公式アップデートを終了して いる Java SE JDK/JRE 7 も脆弱性の影響を受けるとのことです。 また、Java SE JDK/JRE 6 の Extended Support は 2018年12月に終了してい ます。そのため、今回のクリティカルパッチアップデートに関する情報では、 Java SE JDK/JRE 6 の記載はありません。 III. 対策 Oracle からそれぞれの製品に対して、修正済みソフトウエアが公開されてい ます。Java SE、Oracle Database および WebLogic では、次のバージョンが 公開されています。 - Java SE JDK/JRE 8 Update 201 - Java SE JDK/JRE 11.0.2 - Oracle Database Server 11.2.0.4 ※ - Oracle Database Server 12.1.0.2 ※ - Oracle Database Server 12.2.0.1 ※ - Oracle Database Server 18c ※ - Oracle WebLogic Server 10.3.6.0 ※ - Oracle WebLogic Server 12.1.3.0 ※ - Oracle WebLogic Server 12.2.1.3 ※ ※ 対策が施されたパッチ情報の詳細については、1月16日時点の公開情報では 確認できませんでしたので、Oracle 社等に確認してください。 なお、Java SE JDK/JRE 8 Update について、クリティカルパッチアップデー ト (8u201) と同時に、アップデート (8u202) が公開されています。8u202 に は 8u201 の内容に加えて、脆弱性以外の修正も含まれていますので、必要に 応じて適用を検討してください。 製品をアップデートした場合、対象製品を利用する他のアプリケーションが正 常に動作しなくなる可能性があります。利用するアプリケーションへの影響を 考慮した上で、更新してください。 Java SE Downloads https://www.oracle.com/technetwork/java/javase/downloads/index.html 無料Javaのダウンロード https://java.com/ja/download/ また、32bit 版 JDK/JRE、64bit 版 JDK/JRE のいずれか、または両方がイン ストールされている場合がありますので、利用している JDK/JRE をご確認の 上、修正済みソフトウエアを適用してください。 お使いの Java のバージョンは次のページで確認可能です。32bit 版、64bit 版 の両方の Java をインストールしている場合は、それぞれ 32bit 版、64bit 版 のブラウザでバージョンを確認してください。(Java がインストールされてい ない環境では、Java のインストールが要求される可能性があります。不要な場 合は、インストールしないように注意してください。) Javaのバージョンの確認 https://www.java.com/ja/download/installed.jsp また、Oracle によると、今月 2019年1月をもって、商用ユーザに向けた Java SE 8 の公式アップデートの提供が終了します。今後 Java SE を継続利用する 商用ユーザは、Oracle が提供する情報を元に、後継のバージョンへの移行等 の検討をしてください。 Oracle Oracle Java SE サポート・ロードマップ https://www.oracle.com/technetwork/jp/java/eol-135779-ja.html IPA 公式アップデートの提供方法の変更に伴う Java SE の商用ユーザに向けた注意喚起 https://www.ipa.go.jp/security/announce/java8_eol.html IV. 参考情報 Oracle Corporation Oracle Critical Patch Update Advisory - January 2019 https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html Oracle Corporation Release Notes for JDK 8 and JDK 8 Update Releases https://www.oracle.com/technetwork/java/javase/8all-relnotes-2226344.html Oracle Corporation Java Development Kit 11 Release Notes https://www.oracle.com/technetwork/java/javase/11u-relnotes-5093844.html Oracle Corporation January 2019 Critical Patch Update Released https://blogs.oracle.com/oraclesecurity/jan2019cpu-released 日本オラクル株式会社 Oracle Java SE サポート・ロードマップ https://www.oracle.com/technetwork/jp/java/eol-135779-ja.html US-CERT Oracle Releases January 2019 Security Bulletin https://www.us-cert.gov/ncas/current-activity/2019/01/15/Oracle-Releases-January-2019-Security-Bulletin 今回の件につきまして当センターまで提供いただける情報がございましたら、 ご連絡ください。 ====================================================================== 一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC) MAIL: info@jpcert.or.jp TEL: 03-6271-8901 FAX: 03-6271-8908 https://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJcPpWgAAoJEDF9l6Rp7OBIHLkIAIggxz4cgfX2WaC3QrV3Ce83 /P8ZrbhH4veQmAWfve6tw2ZwwjAyErNYF76OFDib1uvKbuD6KSTzoM0Qoo349czd 0ymo55JvYsCrAeI/yJ4obpL5VYrpkb+nycHLPRlRRk7UXJOVnLJFi2tP72IkBZG0 T5k5K5duIdiYKPArswaLnUF2TUVtIzq29Za8xq6L6hLPZkKeg1Ih1wqu7ZWax1Y1 PWivtvEKjJ3gtyO3EHDEWXR2CUmodOZQomo+ACszqqmVJs+YCaFRlG1T+VONIRdM LxPRZi0YJXCB2QuBuvLQKSdVa3VUPfPxBXI0AAY+fNcxIuRgt7pg2g/1fxivLaU= =NaYb -----END PGP SIGNATURE-----