JPCERT-AT-2022-0012
JPCERT/CC
2022-04-20(新規)
2022-04-22(更新)
Oracle Corporation
Oracle Critical Patch Update Advisory - April 2022
https://www.oracle.com/security-alerts/cpuapr2022.html
脆弱性が悪用された場合、リモートからの攻撃によって、不正な操作が実行されたり機微な情報を不正に削除や改ざんされたりするなどの可能性があります。対象となる製品およびバージョンは多岐にわたるため、対象となる製品を利用している場合にはOracleの情報を参照し、アップデートの適用などを検討してください。
PCにJava JREがプリインストールされている場合や、サーバーで使用するソフトウェア製品に、WebLogic Serverを使用している場合もあります。利用中のPCやサーバーに対象となる製品が含まれていないかについても、確認してください。
Javaの最新のバージョンは次のページからダウンロード可能です。
日本オラクル株式会社
全オペレーティング・システム用のJavaのダウンロード
https://java.com/ja/download/manual.jsp
日本オラクル株式会社
Oracle Java SE Supportロードマップ
https://www.oracle.com/jp/java/technologies/java-se-support-roadmap.html
Oracle Corporation
Critical Patch Updates, Security Alerts and Bulletins
https://www.oracle.com/security-alerts/
Oracle Corporation
April 2022 Critical Patch Update Released
https://blogs.oracle.com/security/post/april-2022-cpu-released
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
2022-04-22 「I. 概要」「III. 参考情報」の追記
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
JPCERT/CC
2022-04-20(新規)
2022-04-22(更新)
I. 概要
2022年4月19日(米国時間)、Oracleは複数の製品に対するクリティカルパッチアップデートに関する情報を公開しました。Oracle Corporation
Oracle Critical Patch Update Advisory - April 2022
https://www.oracle.com/security-alerts/cpuapr2022.html
脆弱性が悪用された場合、リモートからの攻撃によって、不正な操作が実行されたり機微な情報を不正に削除や改ざんされたりするなどの可能性があります。対象となる製品およびバージョンは多岐にわたるため、対象となる製品を利用している場合にはOracleの情報を参照し、アップデートの適用などを検討してください。
更新: 2022年4月22日追記
これらの脆弱性の内、Oracle Java SE、Oracle GraalVM Enterprise Editionが影響を受ける脆弱性(CVE-2022-21449)について、2022年4月19日に脆弱性の発見者が詳細を解説する記事を公開しています。
脆弱性が悪用されると、細工したデジタル署名を用いた第三者が、ECDSA署名方式による署名検証を成功させ、不正にデータにアクセスするなどの可能性が指摘されています。詳細および最新の情報については、Oracle Corporationや脆弱性の発見者などが提供する情報を参照いただき、対策実施を検討してください。
Neil Madden
CVE-2022-21449: Psychic Signatures in Java
https://neilmadden.blog/2022/04/19/psychic-signatures-in-java/
Oracle Corporation
Text Form of Risk Matrix for Oracle Java SE
https://www.oracle.com/security-alerts/cpuapr2022verbose.html#JAVA
脆弱性が悪用されると、細工したデジタル署名を用いた第三者が、ECDSA署名方式による署名検証を成功させ、不正にデータにアクセスするなどの可能性が指摘されています。詳細および最新の情報については、Oracle Corporationや脆弱性の発見者などが提供する情報を参照いただき、対策実施を検討してください。
Neil Madden
CVE-2022-21449: Psychic Signatures in Java
https://neilmadden.blog/2022/04/19/psychic-signatures-in-java/
Oracle Corporation
Text Form of Risk Matrix for Oracle Java SE
https://www.oracle.com/security-alerts/cpuapr2022verbose.html#JAVA
II. 対策
Oracleからそれぞれの製品に対して、修正済みソフトウェアが公開されています。製品をアップデートした場合、対象製品を利用する他のアプリケーションが正常に動作しなくなる可能性があります。利用するアプリケーションへの影響を考慮した上で、更新してください。PCにJava JREがプリインストールされている場合や、サーバーで使用するソフトウェア製品に、WebLogic Serverを使用している場合もあります。利用中のPCやサーバーに対象となる製品が含まれていないかについても、確認してください。
Javaの最新のバージョンは次のページからダウンロード可能です。
日本オラクル株式会社
全オペレーティング・システム用のJavaのダウンロード
https://java.com/ja/download/manual.jsp
III. 参考情報
日本オラクル株式会社
Oracle Java SE Supportロードマップ
https://www.oracle.com/jp/java/technologies/java-se-support-roadmap.html
Oracle Corporation
Critical Patch Updates, Security Alerts and Bulletins
https://www.oracle.com/security-alerts/
Oracle Corporation
April 2022 Critical Patch Update Released
https://blogs.oracle.com/security/post/april-2022-cpu-released
更新: 2022年4月22日追記
OpenJDK
OpenJDK Vulnerability Advisory: 2022/04/19
https://openjdk.java.net/groups/vulnerability/advisories/2022-04-19
OpenJDK Vulnerability Advisory: 2022/04/19
https://openjdk.java.net/groups/vulnerability/advisories/2022-04-19
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
改訂履歴
2022-04-20 初版2022-04-22 「I. 概要」「III. 参考情報」の追記
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp