-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2019-0017 JPCERT/CC 2019-04-17 <<< JPCERT/CC Alert 2019-04-17 >>> 2019年 4月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起 https://www.jpcert.or.jp/at/2019/at190017.html I. 概要 2019年 4月16日(現地時間)、Oracle は、複数の製品に対するクリティカルパッ チアップデートに関する情報を公開しました。 Oracle Critical Patch Update Advisory - April 2019 https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html 脆弱性を悪用された場合、リモートからの攻撃によってアプリケーションが不 正終了したり、任意のコードが実行されたりするなどの恐れがあります。対象 となる製品を利用している場合には、アップデートの適用等を検討してくださ い。 II. 対象 対象として、次の製品およびバージョンが含まれています。 - Java SE JDK/JRE 11.0.2 およびそれ以前 - Java SE JDK/JRE 12 - Oracle Database Server 11.2.0.4 - Oracle Database Server 12.1.0.2 - Oracle Database Server 12.2.0.1 - Oracle Database Server 18c - Oracle Database Server 19c - Oracle WebLogic Server 10.3.6.0.0 - Oracle WebLogic Server 12.1.3.0.0 - Oracle WebLogic Server 12.2.1.3.0 ただし、対象となる製品およびバージョンは多岐に渡りますので、正確な情 報は Oracle の情報を参照してください。 また、PC に Java JRE がプリインストールされている場合や、サーバで使用 するソフトウエア製品に、WebLogic を使用している場合もあります。利用中 の PC やサーバに対象となる製品が含まれていないかについても確認してくだ さい。 なお、Oracle によると Java SE について、既に公式アップデートを終了して いる Java SE JDK/JRE 7 および Java SE JDK/JRE 8 も脆弱性の影響を受ける とのことです。 III. 対策 Oracle からそれぞれの製品に対して、修正済みソフトウエアが公開されてい ます。Java SE、Oracle Database および WebLogic では、次のバージョンが 公開されています。 - Java SE JDK/JRE 11.0.3 - Java SE JDK/JRE 12.0.1 - Oracle Database Server 11.2.0.4 ※ - Oracle Database Server 12.1.0.2 ※ - Oracle Database Server 12.2.0.1 ※ - Oracle Database Server 18c ※ - Oracle Database Server 19c ※ - Oracle WebLogic Server 10.3.6.0 ※ - Oracle WebLogic Server 12.1.3.0 ※ - Oracle WebLogic Server 12.2.1.3 ※ ※ 対策が施されたパッチ情報の詳細については、4月17日時点の公開情報では 確認できませんでしたので、Oracle 等に確認してください。 製品をアップデートした場合、対象製品を利用する他のアプリケーションが正 常に動作しなくなる可能性があります。利用するアプリケーションへの影響を 考慮した上で、更新してください。 Java SE Downloads https://www.oracle.com/technetwork/java/javase/downloads/index.html 無料Javaのダウンロード https://java.com/ja/download/ また、32bit 版 JDK/JRE、64bit 版 JDK/JRE のいずれか、または両方がイン ストールされている場合がありますので、利用している JDK/JRE をご確認の 上、修正済みソフトウエアを適用してください。 お使いの Java のバージョンは次のページで確認可能です。32bit 版、64bit 版 の両方の Java をインストールしている場合は、それぞれ 32bit 版、64bit 版 のブラウザでバージョンを確認してください。(Java がインストールされてい ない環境では、Java のインストールが要求される可能性があります。不要な場 合は、インストールしないように注意してください。) Javaのバージョンの確認 https://www.java.com/ja/download/installed.jsp また、Oracle によると、今月 2019年1月をもって、商用ユーザに向けた Java SE 8 の公式アップデートの提供が終了しました。今後 Java SE を継続利用す る商用ユーザは、Oracle が提供する情報を元に、後継のバージョンへの移行 等の検討をしてください。 Oracle Oracle Java SE サポート・ロードマップ https://www.oracle.com/technetwork/jp/java/eol-135779-ja.html IPA 公式アップデートの提供方法の変更に伴う Java SE の商用ユーザに向けた注意喚起 https://www.ipa.go.jp/security/announce/java8_eol.html IV. 参考情報 Oracle Corporation Oracle Critical Patch Update Advisory - April 2019 https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html Oracle Corporation Java Development Kit 11 Update Release Notes https://www.oracle.com/technetwork/java/javase/11u-relnotes-5093844.html Oracle Corporation Java Development Kit 12 Update Release Notes https://www.oracle.com/technetwork/java/javase/documentation/12u-relnotes-5211424.html Oracle Corporation April 2019 Critical Patch Update Released https://blogs.oracle.com/security/april-2019-critical-patch-update-released 日本オラクル株式会社 Oracle Java SE サポート・ロードマップ https://www.oracle.com/technetwork/jp/java/eol-135779-ja.html US-CERT Oracle Releases April 2019 Security Bulletin https://www.us-cert.gov/ncas/current-activity/2019/04/16/Oracle-Releases-April-2019-Security-Bulletin 今回の件につきまして提供いただける情報がございましたら、JPCERT/CC まで ご連絡ください。 ====================================================================== 一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC) MAIL: info@jpcert.or.jp TEL: 03-6271-8901 FAX: 03-6271-8908 https://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJctpCcAAoJEDF9l6Rp7OBIHiUH/3falOCGtEflZrSDsf8wcHG0 lX6GZl633bubVkp3aM3PQk//Gw4igJriD6H82tHrXMeHSxeChy+7cN8fC8JqHT2+ fVU5PdpOAyOBi4cxO41YRczLQRwdu08S94KcXPe36HRl2M6kayKvBEMcM+vAsy+p geUfNkXb5pt3HzghMIaHPFGpgzVlGQ/Id63bTXioQFpPxUELMK0QsyBrxMbVnBUg 3fsOTuNJgVBINGuQWwzUKjPRv9gX9Bh5ZSgv+p+qQ27Q5BWR89nEfCyixWk9ZupW wWNMZcOs1WM6gRNq3imiTziwPjv7W9GLnnp+otlc7qiWorm1A6vTSgzCuF2HJ+E= =Ku3K -----END PGP SIGNATURE-----