-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2022-0012
                                                             JPCERT/CC
                                                     2022-04-20（新規）
                                                     2022-04-22（更新）

                <<< JPCERT/CC Alert 2022-04-20 >>>

   2022年4月Oracle製品のクリティカルパッチアップデートに関する注意喚起

            https://www.jpcert.or.jp/at/2022/at220012.html


I. 概要
2022年4月19日（米国時間）、Oracleは複数の製品に対するクリティカルパッ
チアップデートに関する情報を公開しました。

    Oracle Corporation
    Oracle Critical Patch Update Advisory - April 2022
    https://www.oracle.com/security-alerts/cpuapr2022.html

脆弱性が悪用された場合、リモートからの攻撃によって、不正な操作が実行さ
れたり機微な情報を不正に削除や改ざんされたりするなどの可能性があります。
対象となる製品およびバージョンは多岐にわたるため、対象となる製品を利用
している場合にはOracleの情報を参照し、アップデートの適用などを検討して
ください。

** 更新: 2022年4月22日追記 ********************************************
これらの脆弱性の内、Oracle Java SE、Oracle GraalVM Enterprise Editionが
影響を受ける脆弱性（CVE-2022-21449）について、2022年4月19日に脆弱性の発
見者が詳細を解説する記事を公開しています。

脆弱性が悪用されると、細工したデジタル署名を用いた第三者が、ECDSA署名
方式による署名検証を成功させ、不正にデータにアクセスするなどの可能性が
指摘されています。詳細および最新の情報については、Oracle Corporationや
脆弱性の発見者などが提供する情報を参照いただき、対策実施を検討してくだ
さい。

    Neil Madden
    CVE-2022-21449: Psychic Signatures in Java
    https://neilmadden.blog/2022/04/19/psychic-signatures-in-java/

    Oracle Corporation
    Text Form of Risk Matrix for Oracle Java SE
    https://www.oracle.com/security-alerts/cpuapr2022verbose.html#JAVA
**********************************************************************


II. 対策
Oracleからそれぞれの製品に対して、修正済みソフトウェアが公開されていま
す。製品をアップデートした場合、対象製品を利用する他のアプリケーション
が正常に動作しなくなる可能性があります。利用するアプリケーションへの影
響を考慮した上で、更新してください。

PCにJava JREがプリインストールされている場合や、サーバーで使用するソフ
トウェア製品に、WebLogic Serverを使用している場合もあります。利用中の
PCやサーバーに対象となる製品が含まれていないかについても、確認してくだ
さい。

Javaの最新のバージョンは次のページからダウンロード可能です。

    日本オラクル株式会社
    全オペレーティング・システム用のJavaのダウンロード
    https://java.com/ja/download/manual.jsp


III. 参考情報
    日本オラクル株式会社
    Oracle Java SE Supportロードマップ
    https://www.oracle.com/jp/java/technologies/java-se-support-roadmap.html

    Oracle Corporation
    Critical Patch Updates, Security Alerts and Bulletins
    https://www.oracle.com/security-alerts/

    Oracle Corporation
    April 2022 Critical Patch Update Released
    https://blogs.oracle.com/security/post/april-2022-cpu-released

** 更新: 2022年4月22日追記 ********************************************
    OpenJDK
    OpenJDK Vulnerability Advisory: 2022/04/19
    https://openjdk.java.net/groups/vulnerability/advisories/2022-04-19
**********************************************************************


今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまで
ご連絡ください。

________
改訂履歴
2022-04-20 初版
2022-04-22 「I. 概要」「III. 参考情報」の追記

======================================================================
一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）
早期警戒グループ
Email：ew-info@jpcert.or.jp
-----BEGIN PGP SIGNATURE-----

iQIcBAEBCAAGBQJiYgzIAAoJEKntH+qu5CT/ss8P/2bkoad6iZTWKeyRSUHK2k1d
RwVLgOXC97lB5G2btDLCjLp7fDSePUry0CGSznMzzqVuXoA9CYt9+GGdmTUStcuL
Ywd2jTswMdKmIG1m+arudAYivZJeCtcaRWoKs19kUpW7/MV2lokRU1WdRLoGd9zI
Zr7f/nkW/dXRrMERqIa5PdP5+NBOU/Y7TPkWpDtc2VPMRRh5TQ3Wiqf2guIEhMR/
43ycvZo7ZyMcVFiI+YWMKdLiWxdX40zaF2MPO/OhqQes4DF9+32ec+Q3Woxyx5FM
I2iabGDP6O5Mtgy98gQnsGIUERcGeCy7ssFpHCacaKXInGnvPqnWIbM+d5g7XLXD
HH0vhe0grPBjo/bmNU9/Q5nU3mY8i46trepLnEd3i+h+q/8JbzBq/ATsCiV34Ikx
TiDCundfGiqUbu17nl0cXBNgpN8OktlW9+baZup9APk74ydGorwse3uzKK7WMUGI
TpU1Ik6YUky/Avv6TND4sNKDZsIowX8VTl9KnYHyiGOII3i1QQJ4ADxRDrTfOzSp
jmW+QZerd64EdVrm6yjU/plP2KHXgej8hiRPry2htrwragFavuKwkuDlbEkroOm+
f1OSSD85CuXAF0gZHfBYHk6qjl4h0e59wgMwa73wFNMRfUqV7Z48E0FUcDCv4dMn
D30D5uv0Zog74fnn6v5K
=pfDI
-----END PGP SIGNATURE-----