-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2020-0040 JPCERT/CC 2020-10-21(新規) 2020-11-04(更新) <<< JPCERT/CC Alert 2020-10-21 >>> 2020年10月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起 https://www.jpcert.or.jp/at/2020/at200040.html I. 概要 2020年10月20日(現地時間)、Oracle は、複数の製品に対するクリティカルパッチ アップデートに関する情報を公開しました。 Oracle Critical Patch Update Advisory - October 2020 https://www.oracle.com/security-alerts/cpuoct2020.html 脆弱性が悪用された場合、リモートからの攻撃によって、不正な操作が実行さ れたり、機微な情報を不正に削除や改ざんされたりする可能性があります。対 象となる製品を利用している場合には、アップデートの適用等を検討してくだ さい。 ** 更新: 2020年11月4日追記 ******************************************* 2020年11月1日(現地時間)、Oracle は、Oracle WebLogic Server の新たな脆 弱性 (CVE-2020-14750) に関するアドバイザリを公開しました。本脆弱性は、 2020年10月に修正された Oracle WebLogic Server の脆弱性 (CVE-2020-14882) に関係するもので、認証されていない遠隔の第三者が、認証情報 (ユーザー名 やパスワード) を必要とせず、任意のコードを実行する可能性があります。 Oracle Security Alert Advisory - CVE-2020-14750 https://www.oracle.com/security-alerts/alert-cve-2020-14750.html JPCERT/CC は、2020年10月28日以降、脆弱性 (CVE-2020-14882) の悪用を試み る通信を観測しており、脆弱性を実証するコードが公開されていることも確認 しています。Oracle WebLogic Server を利用している場合、速やかな対策実 施を推奨いたします。また、対策を未実施の場合、既に当該製品が侵害を受け ている可能性があるため、侵害有無の確認や調査の実施もご検討ください。 ********************************************************************** II. 対象 対象として、次の製品およびバージョンが含まれています。 - Java SE JDK/JRE 15 - Java SE JDK/JRE 11.0.8 - Java SE JDK/JRE 8u261 - Java SE JDK/JRE 7u271 - Java SE Embedded 8u261 - Oracle Database Server 19c - Oracle Database Server 18c - Oracle Database Server 12.2.0.1 - Oracle Database Server 12.1.0.2 - Oracle Database Server 11.2.0.4 - Oracle WebLogic Server 14.1.1.0.0 - Oracle WebLogic Server 12.2.1.4.0 - Oracle WebLogic Server 12.2.1.3.0 - Oracle WebLogic Server 12.1.3.0.0 - Oracle WebLogic Server 10.3.6.0.0 ただし、その他の対象となる製品およびバージョンは多岐に渡るため、正確な 情報は Oracle の情報を参照してください。 また、PC に Java JRE がプリインストールされている場合や、サーバーで使 用するソフトウェア製品に、WebLogic Server を使用している場合もあります。 利用中の PC やサーバーに対象となる製品が含まれていないかについても、確 認してください。 日本オラクル株式会社 Oracle Java SE サポート・ロードマップ https://www.oracle.com/jp/java/technologies/java-se-support-roadmap.html III. 対策 Oracle からそれぞれの製品に対して、修正済みソフトウェアが公開されてい ます。Java SE、Oracle Database および WebLogic では、次のバージョンが 公開されています。 - Java SE JDK/JRE 15.0.1 - Java SE JDK/JRE 11.0.9 - Java SE JDK/JRE 8u271 - Java SE JDK/JRE 7u281 - Java SE Embedded 8u271 - Oracle Database Server ※ - Oracle WebLogic Server ※ ※ 2020年10月21日現在、公開情報から対策が施されたパッチに関する情報は 確認できませんでした。詳細は Oracle 等に確認してください。 製品をアップデートした場合、対象製品を利用する他のアプリケーションが正 常に動作しなくなる可能性があります。利用するアプリケーションへの影響を 考慮した上で、更新してください。 Java SE Downloads https://www.oracle.com/technetwork/java/javase/downloads/index.html 無料Javaのダウンロード https://java.com/ja/download/ また、32bit 版 JDK/JRE、64bit 版 JDK/JRE のいずれか、または両方がイン ストールされている場合がありますので、利用している JDK/JRE をご確認の 上、修正済みソフトウェアを適用してください。 お使いの Java のバージョンは次のページで確認可能です。32bit 版、64bit 版 の両方の Java をインストールしている場合は、それぞれ 32bit 版、64bit 版 のブラウザでバージョンを確認してください。(Java がインストールされてい ない環境では、Java のインストールが要求される可能性があります。不要な場 合は、インストールしないように注意してください。) Javaのバージョンの確認 https://www.java.com/ja/download/installed.jsp IV. 参考情報 Oracle Corporation Oracle Critical Patch Update Advisory - October 2020 https://www.oracle.com/security-alerts/cpuoct2020.html Oracle Corporation Listing of Java Development Kit 15 Release Notes https://www.oracle.com/java/technologies/javase/15u-relnotes.html Oracle Corporation Listing of Java Development Kit 11 Release Notes https://www.oracle.com/java/technologies/javase/11u-relnotes.html Oracle Corporation Java Development Kit 8 Update Release Notes https://www.oracle.com/java/technologies/javase/8u-relnotes.html Oracle Corporation Java SE 7 Advanced and Java SE 7 Support (formerly known as Java for Business 7) Release Notes https://www.oracle.com/java/technologies/javase/7-support-relnotes.html Oracle Corporation Oracle Java SE Embedded 8 Release Notes https://www.oracle.com/java/technologies/javase/embedded8-relnotes.html Oracle Corporation October 2020 Critical Patch Update Released https://blogs.oracle.com/security/october-2020-critical-patch-update-released 日本オラクル株式会社 Oracle Java SE サポート・ロードマップ https://www.oracle.com/jp/java/technologies/java-se-support-roadmap.html 今回の件につきまして提供いただける情報がございましたら、JPCERT/CC まで ご連絡ください。 ________ 改訂履歴 2020-10-21 初版 2020-11-04 「I. 概要」の更新 ====================================================================== 一般社団法人JPCERTコーディネーションセンター (JPCERT/CC) 早期警戒グループ Email: ew-info@jpcert.or.jp -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJfojKqAAoJEKntH+qu5CT/WW8P/3nGohAmKeE+O4O0Wox4SB3v lpYGxG2Wevxz9txyA/3T5AIPfzx63OLhN/JCrviSPyINnDQ0zqicJZ3UI0z3VYDj qKvmTW2St8W1a1sgb5eF59wRLMhUI73w36xN2t1NwynE8m3Zbs7RMHVDVLh0vSay Kd35vkKCSFyYRowN4IeDe+++C4ZarpG5VQwkhRZg022Vc8u1i8Ifq3qejM0ioaXT QHsWbxK592jTKQl+uHjhhQxj3SjmK/3mRC2I+jKy479LYNLQzGNxzKtqZ5o3ohAq Pa6jZAExsoLs7I2n9ZF7FbYgOicY5TYsq3Mcs0zspCV6jY9edGUIrYkuUQWzjknd d0M6Zb8wnH/gZficAXHEC26sxevNrVgJPJjkdJKAHb4KZsSBO6kgJ6PHLpw3oNSU wrB5CsClYiVVfTTvQf1f7H3UVsw9K4w0XmWUJGHEtbvDmIj25sJwm/qXk/Pn9Q2n Z7qkhn1+foDvy8zeRU9KmVRy57ZiGcaagbQh/+RNK6EVpmcjXtxS1fm/s8AZB2LN 7eb8N1uzIu6ienGGntzEVriInT3z8KRBwKs3ocCtILPfIYAqgfYRh6tcbaA2VWqF EpU6fgl3nqoVSBiIpT1NG8FV0ndFeWtnhRRzMvkfT9ehzOyhrmE9VTwBo5+uHDWi QiU/M//HX/qoIAAed9E6 =bNmu -----END PGP SIGNATURE-----