-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2020-0002
                                                             JPCERT/CC
                                                      2020-01-15(新規)
                                                      2020-01-16(更新)

                  <<< JPCERT/CC Alert 2020-01-15 >>>

2020年1月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起

            https://www.jpcert.or.jp/at/2020/at200002.html


I. 概要
2020年1月14日(現地時間)、Oracle は、複数の製品に対するクリティカルパッ
チアップデートに関する情報を公開しました。

    Oracle Critical Patch Update Advisory - January 2020
    https://www.oracle.com/security-alerts/cpujan2020.html

脆弱性が悪用された場合、リモートからの攻撃によって、サービス運用妨害 (DoS) 攻撃が行われたり、不正な操作が実行されたりする可能性があります。対象となる製品を利用している場合には、アップデートの適用等を検討してください。


II. 対象
対象として、次の製品およびバージョンが含まれています。

  - Java SE JDK/JRE 13.0.1
  - Java SE JDK/JRE 11.0.5
  - Java SE JDK/JRE 8u231
  - Java SE JDK/JRE 7u241
  - Oracle Database Server 19c
  - Oracle Database Server 18c
  - Oracle Database Server 12.2.0.1
  - Oracle Database Server 12.1.0.2
  - Oracle Database Server 11.2.0.4
  - Oracle WebLogic Server 12.2.1.4.0
  - Oracle WebLogic Server 12.2.1.3.0
  - Oracle WebLogic Server 12.1.3.0.0
  - Oracle WebLogic Server 10.3.6.0.0

** 更新: 2020年1月16日追記 ********************************************
Oracle の公開情報更新にともない、対象バージョンを修正いたしました。
***********************************************************************

ただし、その他の対象となる製品およびバージョンは多岐に渡るため、正確な
情報は Oracle の情報を参照してください。

また、PC に Java JRE がプリインストールされている場合や、サーバで使用
するソフトウエア製品に、WebLogic Server を使用している場合もあります。
利用中の PC やサーバに対象となる製品が含まれていないかについても、確認
してください。


III. 対策
Oracle からそれぞれの製品に対して、修正済みソフトウエアが公開されてい
ます。Java SE、Oracle Database および WebLogic では、次のバージョンが
公開されています。

  - Java SE JDK/JRE 13.0.2
  - Java SE JDK/JRE 11.0.6
  - Java SE JDK/JRE 8u241
  - Java SE JDK/JRE 7u251
  - Oracle Database Server ※
  - Oracle WebLogic Server ※

※ 2020年1月15日現在、公開情報から対策が施されたパッチに関する情報は確認できませんでした。詳細は Oracle 等に確認してください。

製品をアップデートした場合、対象製品を利用する他のアプリケーションが正
常に動作しなくなる可能性があります。利用するアプリケーションへの影響を
考慮した上で、更新してください。

    Java SE Downloads
    https://www.oracle.com/technetwork/java/javase/downloads/index.html

    無料Javaのダウンロード
    https://java.com/ja/download/

また、32bit 版 JDK/JRE、64bit 版 JDK/JRE のいずれか、または両方がイン
ストールされている場合がありますので、利用している JDK/JRE をご確認の
上、修正済みソフトウエアを適用してください。

お使いの Java のバージョンは次のページで確認可能です。32bit 版、64bit 版
の両方の Java をインストールしている場合は、それぞれ 32bit 版、64bit 版
のブラウザでバージョンを確認してください。(Java がインストールされてい
ない環境では、Java のインストールが要求される可能性があります。不要な場
合は、インストールしないように注意してください。)

    Javaの確認および最新でないバージョンの検索
    https://www.java.com/ja/download/installed.jsp


IV. 参考情報
    Oracle Corporation
    Oracle Critical Patch Update Advisory - January 2020
    https://www.oracle.com/security-alerts/cpujan2020.html

    Oracle Corporation
    Listing of Java Development Kit 13 Release Notes
    https://www.oracle.com/technetwork/java/javase/documentation/13u-relnotes-5461742.html

    Oracle Corporation
    Java Development Kit 11 Release Notes
    https://www.oracle.com/technetwork/java/javase/11u-relnotes-5093844.html

    Oracle Corporation
    Java Development Kit 8 Update Release Notes
    https://www.oracle.com/technetwork/java/javase/8u-relnotes-2225394.html

    Oracle Corporation
    Java SE 7 Advanced and Java SE 7 Support (formerly known as Java for Business 7)
    https://www.oracle.com/technetwork/java/javase/documentation/javase7supportreleasenotes-1601161.html

    Oracle Corporation
    January 2020 Critical Patch Update Released
    https://blogs.oracle.com/security/january-2020-critical-patch-update-released

    日本オラクル株式会社
    Oracle Java SE サポート・ロードマップ
    https://www.oracle.com/technetwork/jp/java/eol-135779-ja.html


今回の件につきまして提供いただける情報がございましたら、JPCERT/CC まで
ご連絡ください。

________
改訂履歴
2020-01-15 初版
2020-01-16 「II. 対象」「III. 対策」の追記

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: ew-info@jpcert.or.jp
TEL: 03-6811-0610  FAX: 03-6271-8908
https://www.jpcert.or.jp/
-----BEGIN PGP SIGNATURE-----

iQIcBAEBCAAGBQJeIAXaAAoJEKntH+qu5CT/5lcP/3+MXiySvNxRj82jpAHjPdmx
x7Qt9malZOJU5yvrDr47INHl+f2DqfNHcKFYNOKhRsEKMXn52qOsI8o2kl02e0P8
lAsJjMCP6EBs9XUEoPliv2lUDWhOB51RWq8tSoFbCbXAOSr8WGxFjooCGsg6mBtA
jLBGMNzwBJCcLpEpFP/ObOMT11QKmF18tJV6LMoZ1MtL4WrjQ+fp9yAWzxrM4oD2
T3uZ81tnHXx336s1aI0xlkg9fIQnEhA8wewOd8N8Y04YaUeUvUl/o+feImd6EW8O
qV7YQgBYo0yc4y0AgR5LUkOcuHBCjTKaFLM6YoEiilP6fil3bj1qPwvyk3c59OTw
cgPNn9/wgSEFhaDBsAFt/WuCQbQUm76PPhZtKv2fDa7wZxEpxxhAgZSoiR6yLKo9
6kqLlImLicFq6NyDuk/0otDvudsSsrjXhhJFU1yg3DObqHTwP51Rkp6Av5oWhwqH
yfzx8yKPIqlIC5NjpBNqGcw4uOjPZmNUMYpq0mO5oZ3y4F2NZXBydFaAs9LP2Hzz
IwV8SNxc+A9ta4O2oaQTB5MPbZPNXgCXsA9EetA2A+bkOfo1VjAumukXIUbgEcLD
H/rOPYFSANZqTpNntkIUHVsGa8OusSx7TIrPSBKZpKhy5NVvFKaF+Fnehq9WjXt8
B8mrRsIC1ASQ3b5rYT6n
=wZgr
-----END PGP SIGNATURE-----