-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2018-0018 JPCERT/CC 2018-04-18 <<< JPCERT/CC Alert 2018-04-18 >>> 2018年 4月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起 https://www.jpcert.or.jp/at/2018/at180018.html I. 概要 2018年4月17日(現地時間)、Oracle は、複数の製品に対するクリティカルアップ デートに関する情報を公開しました。 Oracle Critical Patch Update Advisory - April 2018 http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html 脆弱性を悪用された場合、リモートからの攻撃によってアプリケーションが不 正終了したり、任意のコードが実行されたりするなどの恐れがあります。対象 となる製品を利用している場合には、アップデートの適用等を検討してくださ い。 II. 対象 対象として、次の製品およびバージョンが含まれています。 - Java SE JDK/JRE 8 Update 162 およびそれ以前 - Java SE JDK/JRE 10 - Oracle WebLogic Portal 10.3.6.0.0 SPU より前のバージョン - Oracle WebLogic Server 10.3.6.0.180417 PSU より前のバージョン - Oracle WebLogic Server 12.1.3.0.180417 PSU より前のバージョン - Oracle WebLogic Server 12.2.1.2.180417 PSU より前のバージョン - Oracle WebLogic Server 12.2.1.3.180417 PSU より前のバージョン ただし、対象となる製品およびバージョンは多岐に渡りますので、正確な情 報は Oracle の情報を参照してください。 また、PC に Java JRE がプリインストールされている場合や、サーバで使用 するソフトウエア製品に、WebLogic を使用している場合もあります。利用中 の PC やサーバに対象となる製品が含まれていないかについても確認してくだ さい。 なお、Oracle によると Java SE について、既に公式アップデートを終了して いる Java SE JDK/JRE 6 および 7 も脆弱性の影響を受けるとのことです。 Java SE JDK/JRE 9 については 2018年3月で公式アップデートが終了していま す。 III. 対策 Oracle からそれぞれの製品に対して、修正済みソフトウエアが公開されてい ます。Java SE 及び WebLogic では、次のバージョンが公開されています。 - Java SE JDK/JRE 8 Update 171 - Java SE JDK/JRE 10.0.1 - Oracle WebLogic Portal 10.3.6.0.0 SPU - Oracle WebLogic Server 10.3.6.0.180417 PSU - Oracle WebLogic Server 12.1.3.0.180417 PSU - Oracle WebLogic Server 12.2.1.2.180417 PSU - Oracle WebLogic Server 12.2.1.3.180417 PSU 製品をアップデートした場合、対象製品を利用する他のアプリケーションが正 常に動作しなくなる可能性があります。利用するアプリケーションへの影響を 考慮した上で、更新してください。 なお、Java SE JDK/JRE 8 Update について、クリティカルパッチアップデート (8u171) と同時に、複数バグの累積パッチであるパッチセットアップデート (8u172) が公開されています。8u172 には 8u171 の内容に加えて、脆弱性以外 の修正も含まれていますので、必要に応じて適用を検討してください。 Java SE Downloads http://www.oracle.com/technetwork/java/javase/downloads/index.html 無料 Java のダウンロード https://java.com/ja/download/ また、32bit 版 JDK/JRE、64bit 版 JDK/JRE のいずれか、または両方がイン ストールされている場合がありますので、利用している JDK/JRE をご確認の 上、修正済みソフトウエアを適用してください。 お使いの Java のバージョンは次のページで確認可能です。32bit 版、64bit 版 の両方の Java をインストールしている場合は、それぞれ 32bit 版、64bit 版 のブラウザでバージョンを確認してください。(Java がインストールされてい ない環境では、Java のインストールが要求される可能性があります。不要な場 合は、インストールしないように注意してください。) Java のバージョンの確認 https://www.java.com/ja/download/installed.jsp IV. 参考情報 Oracle Corporation Oracle Critical Patch Update Advisory - April 2018 http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html Oracle Corporation Release Notes for JDK 8 and JDK 8 Update Releases http://www.oracle.com/technetwork/java/javase/8all-relnotes-2226344.html Oracle Corporation Java Development Kit 10 Release Notes http://www.oracle.com/technetwork/java/javase/10u-relnotes-4108739.html Oracle Corporation April 2018 Fusion Middleware Proactive Patches Released https://blogs.oracle.com/portalsproactive/april-2018-fusion-middleware-proactive-patches-released-v2 Oracle Corporation Oracle Critical Patch Update for April 2018 Released https://blogs.oracle.com/portalsproactive/oracle-critical-patch-update-for-april-2018 日本オラクル株式会社 Oracle Java SEサポート・ロードマップ http://www.oracle.com/technetwork/jp/java/eol-135779-ja.html US-CERT Oracle Releases April 2018 Security Bulletin https://www.us-cert.gov/ncas/current-activity/2018/04/17/Oracle-Releases-April-2018-Security-Bulletin 今回の件につきまして当センターまで提供いただける情報がございましたら、 ご連絡ください。 ====================================================================== 一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC) MAIL: info@jpcert.or.jp TEL: 03-3518-4600 FAX: 03-3518-4602 https://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJa1temAAoJEDF9l6Rp7OBIwlQIAJBXQrmUJMlCbxb4n6adSWnf SWp98+onjZF8zqkKDSSfuBfszMuQufzlXvmz086LM1AC/YAMcarhOG5XOarmVvd/ gomVnho40K5u+oKiUM2xcFlZ8iIuUF3euh6O0gq6QmBOQW2wQ/oDucrmF3Clmf5Q xQBXYWpW0xrEkK6K0efuXJFVPv07tr3INoeulSuQhIdmlt6dOpySjU7dTqXO7Snp xkNtEdzpS3TMG9NcV5SEKvoulXW/hWWdBL1ooHwBgAnVaedkbHMU1h5NsjKXT0Bo FrIHwq1glkQQ/DHQKywEt5YuUeV5oQr+0DATbAFEw1HYjCT62Zh8Ee5XE4ZXokQ= =xKtf -----END PGP SIGNATURE-----