-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2017-0017 JPCERT/CC 2017-04-19 <<< JPCERT/CC Alert 2017-04-19 >>> 2017年 4月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起 https://www.jpcert.or.jp/at/2017/at170017.html I. 概要 Oracle の Java SE JDK および JRE には、複数の脆弱性があります。 脆弱性を悪用された場合、リモートからの攻撃によって Java が不正終了 したり、任意のコードが実行されたりする恐れがあります。脆弱性の詳細 については、Oracle の情報を確認してください。 Oracle が提供する修正済みソフトウエアへアップデートすることをお勧 めします。 Oracle Critical Patch Update Advisory - April 2017 http://www.oracle.com/technetwork/security-advisory/cpuapr2017-3236618.html II. 対象 対象となる製品とバージョンは以下の通りです。 - Java SE JDK/JRE 8 Update 121 およびそれ以前 ※ Oracle によると既に公式アップデートを終了している Java SE JDK/JRE 6 および 7 も脆弱性の影響を受けるとのことです。 ※ 一部メーカー製 PC では、JRE がプリインストールされている場合があ ります。念のため、利用中の PC に JRE がインストールされているかど うかを確認してください。 III. 対策 Oracle から修正済みソフトウエアが公開されています。以下の修正済み ソフトウエアへアップデートを行ってください。 - Java SE JDK/JRE 8 Update 131 Java SE Downloads http://www.oracle.com/technetwork/java/javase/downloads/index.html 無料 Java のダウンロード (JRE 8、日本語) https://java.com/ja/download/ なお、Oracle によると、今回のパッチアップデートから MD5 で署名され た JAR ファイルは、デフォルトで動作しなくなるとのことです。MD5 で署名 された JAR ファイルをお使いの場合、よりセキュアなアルゴリズムに移行 することをお勧めします。 詳細は、以下の URL を参照してください。 Oracle JRE will no longer trust MD5-signed code by default https://blogs.oracle.com/java-platform-group/entry/oracle_jre_will_no_longer Oracle JRE and JDK Cryptographic Roadmap https://www.java.com/en/jre-jdk-cryptoroadmap.html また、64bit 版 Windows を使用している場合、32bit 版 JDK/JRE、64bit 版 JDK/JRE のいずれか、または両方がインストールされている場合がありますの で、利用している JDK/JRE をご確認の上、修正済みソフトウエアを適用して ください。 お使いの Java のバージョンは以下のページで確認可能です。なお、32bit 版、64bit 版の両方の Java をインストールしている場合は、それぞれ 32bit 版、64bit 版のブラウザでバージョンを確認してください。(Java がインストー ルされていない環境では、Java のインストールが要求される可能性がありま す。不要な場合は、インストールしないように注意してください。) Java のバージョンの確認 https://www.java.com/ja/download/installed.jsp ※ Java を最新に更新した場合、一部の Java 上で動作するアプリケーション が動作しなくなる可能性があります。利用するアプリケーションへの影 響を考慮した上で、更新してください。 IV. 参考情報 Oracle Corporation Oracle Critical Patch Update Advisory - April 2017 http://www.oracle.com/technetwork/security-advisory/cpuapr2017-3236618.html Oracle Corporation Release Notes for JDK 8 and JDK 8 Update Releases http://www.oracle.com/technetwork/java/javase/8all-relnotes-2226344.html Oracle Corporation Oracle Critical Patch Update for April 2017 Released https://blogs.oracle.com/PortalsProactive/entry/oracle_critical_patch_update_for12 日本オラクル株式会社 Oracle Java SEサポート・ロードマップ http://www.oracle.com/technetwork/jp/java/eol-135779-ja.html US-CERT Oracle Releases Security Bulletin https://www.us-cert.gov/ncas/current-activity/2017/04/18/Oracle-Releases-Security-Bulletin 今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡 ください。 ====================================================================== 一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC) MAIL: info@jpcert.or.jp TEL: 03-3518-4600 FAX: 03-3518-4602 https://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJY9u1+AAoJEDF9l6Rp7OBIZJIH/2nOHMka/waserXhyPDKPJ22 9hApZc/pV1iRZVHYtB6GH9Li1TM8FL/H6bSDpBaILNcOgl82ERVE5uR/Z95SNfOb U/OQHWVRoLivhifVOD+9NRu/prEPYjX8Jld+lSJha5UA5+u8WMApHdkHUaen9v9H bMhpL/THfhKNk2FCQdMINgdT7YFmBCDY4V48QhnbbNnEMyDEfq+eH7FuuEwaENsu YhaLdVolYzkiMfA6twst3ZXwfM8KG6ZvFDwlp7qAfQE2vEHIM/98BrA3Jnn9R64t wRyFjMLJf8UYVTPw9Upijeq00/L+lYmAAtHRYcR9mGetcJrhsC3QXpZuAk5fMv8= =NIxv -----END PGP SIGNATURE-----