各位
https://www.jpcert.or.jp/at/2018/at180029.html
I. 概要2018年7月17日(現地時間)、Oracle は、複数の製品に対するクリティカルパッチアップデートに関する情報を公開しました。
Oracle Critical Patch Update Advisory - July 2018
https://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html
脆弱性を悪用された場合、リモートからの攻撃によってアプリケーションが不正終了したり、任意のコードが実行されたりするなどの恐れがあります。対象となる製品を利用している場合には、アップデートの適用等を検討してください。
** 更新: 2018年 7月23日追記*******************************************2018年7月23日現在、Oracle WebLogic Server の脆弱性 (CVE-2018-2893,
CVE-2018-2894, CVE-2018-2998, CVE-2018-2933) を実証したとするコードが公開されています。また、CVE-2018-2893 は、2018年4月に修正された CVE-2018-2628 に対する修正不備であるとする情報もあります。
**************************************************
II. 対象対象として、次の製品およびバージョンが含まれています。
- Java SE JDK/JRE 8 Update 172 およびそれ以前
- Java SE JDK/JRE 10.0.1 およびそれ以前
- Oracle Database Server 11.2.0.4
- Oracle Database Server 12.1.0.2
- Oracle Database Server 12.2.0.1
- Oracle Database Server 18.1
- Oracle Database Server 18.2
- Oracle WebLogic Server 10.3.6.0
- Oracle WebLogic Server 12.1.3.0
- Oracle WebLogic Server 12.2.1.2
- Oracle WebLogic Server 12.2.1.3
ただし、対象となる製品およびバージョンは多岐に渡りますので、正確な情報は Oracle の情報を参照してください。
また、PC に Java JRE がプリインストールされている場合や、サーバで使用するソフトウエア製品に、WebLogic を使用している場合もあります。利用中の PC やサーバに対象となる製品が含まれていないかについても確認してください。
なお、Oracle によると Java SE について、既に公式アップデートを終了している Java SE JDK/JRE 6 および 7 も脆弱性の影響を受けるとのことです。
III. 対策Oracle からそれぞれの製品に対して、修正済みソフトウエアが公開されています。Java SE 及び WebLogic では、次のバージョンが公開されています。
- Java SE JDK/JRE 8 Update 181
- Java SE JDK/JRE 10.0.2
- Oracle Database Server 11.2.0.4 ※
- Oracle Database Server 12.1.0.2 ※
- Oracle Database Server 12.2.0.1 ※
- Oracle Database Server 18.1 ※
- Oracle Database Server 18.2 ※
- Oracle WebLogic Server 10.3.6.0 ※
- Oracle WebLogic Server 12.1.3.0 ※
- Oracle WebLogic Server 12.2.1.2 ※
- Oracle WebLogic Server 12.2.1.3 ※
※ 対策が施されたパッチ情報の詳細については、7月18日時点の公開情報では確認できませんでしたので、Oracle 社等に確認してください。
製品をアップデートした場合、対象製品を利用する他のアプリケーションが正常に動作しなくなる可能性があります。利用するアプリケーションへの影響を考慮した上で、更新してください。
Java SE Downloads
http://www.oracle.com/technetwork/java/javase/downloads/index.html
無料 Java のダウンロード
https://java.com/ja/download/
また、32bit 版 JDK/JRE、64bit 版 JDK/JRE のいずれか、または両方がインストールされている場合がありますので、利用している JDK/JRE をご確認の上、修正済みソフトウエアを適用してください。
お使いの Java のバージョンは次のページで確認可能です。32bit 版、64bit 版の両方の Java をインストールしている場合は、それぞれ 32bit 版、64bit 版のブラウザでバージョンを確認してください。(Java がインストールされていない環境では、Java のインストールが要求される可能性があります。不要な場合は、インストールしないように注意してください。)
Java のバージョンの確認
https://www.java.com/ja/download/installed.jsp
** 更新: 2018年 7月23日追記*******************************************WebLogic における脆弱性 CVE-2018-2628 および CVE-2018-2983 の悪用を防ぐ上で、T3/T3s プロトコルへの適切なアクセス制限 (フィルタ) を設定することをおすすめします。フィルタ設定に関する詳細は Oracle からのドキュメントを参照してください。
Oracle
ネットワーク接続フィルタの使い方
https://docs.oracle.com/cd/E72987_01/wls/SCPRG/con_filtr.htm
**************************************************
IV. 参考情報
Oracle Corporation
Oracle Critical Patch Update Advisory - July 2018
https://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html
Oracle Corporation
Release Notes for JDK 8 and JDK 8 Update Releases
http://www.oracle.com/technetwork/java/javase/8all-relnotes-2226344.html
Oracle Corporation
Java Development Kit 10 Release Notes
http://www.oracle.com/technetwork/java/javase/10u-relnotes-4108739.html
Oracle Corporation
Oracle Critical Patch Update for July 2018
https://blogs.oracle.com/portalsproactive/oracle-critical-patch-update-for-july-2018
日本オラクル株式会社
Oracle Java SEサポート・ロードマップ
http://www.oracle.com/technetwork/jp/java/eol-135779-ja.html
US-CERT
Oracle Releases July 2018 Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2018/07/17/Oracle-Releases-July-2018-Security-Bulletin
今回の件につきまして当センターまで提供いただける情報がございましたら、ご連絡ください。
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
JPCERT-AT-2018-0029
JPCERT/CC
2018-07-18(新規)
2018-07-23(更新)
JPCERT/CC Alert 2018-07-18
2018年 7月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起https://www.jpcert.or.jp/at/2018/at180029.html
I. 概要2018年7月17日(現地時間)、Oracle は、複数の製品に対するクリティカルパッチアップデートに関する情報を公開しました。
Oracle Critical Patch Update Advisory - July 2018
https://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html
脆弱性を悪用された場合、リモートからの攻撃によってアプリケーションが不正終了したり、任意のコードが実行されたりするなどの恐れがあります。対象となる製品を利用している場合には、アップデートの適用等を検討してください。
** 更新: 2018年 7月23日追記*******************************************2018年7月23日現在、Oracle WebLogic Server の脆弱性 (CVE-2018-2893,
CVE-2018-2894, CVE-2018-2998, CVE-2018-2933) を実証したとするコードが公開されています。また、CVE-2018-2893 は、2018年4月に修正された CVE-2018-2628 に対する修正不備であるとする情報もあります。
**************************************************
II. 対象対象として、次の製品およびバージョンが含まれています。
- Java SE JDK/JRE 8 Update 172 およびそれ以前
- Java SE JDK/JRE 10.0.1 およびそれ以前
- Oracle Database Server 11.2.0.4
- Oracle Database Server 12.1.0.2
- Oracle Database Server 12.2.0.1
- Oracle Database Server 18.1
- Oracle Database Server 18.2
- Oracle WebLogic Server 10.3.6.0
- Oracle WebLogic Server 12.1.3.0
- Oracle WebLogic Server 12.2.1.2
- Oracle WebLogic Server 12.2.1.3
ただし、対象となる製品およびバージョンは多岐に渡りますので、正確な情報は Oracle の情報を参照してください。
また、PC に Java JRE がプリインストールされている場合や、サーバで使用するソフトウエア製品に、WebLogic を使用している場合もあります。利用中の PC やサーバに対象となる製品が含まれていないかについても確認してください。
なお、Oracle によると Java SE について、既に公式アップデートを終了している Java SE JDK/JRE 6 および 7 も脆弱性の影響を受けるとのことです。
III. 対策Oracle からそれぞれの製品に対して、修正済みソフトウエアが公開されています。Java SE 及び WebLogic では、次のバージョンが公開されています。
- Java SE JDK/JRE 8 Update 181
- Java SE JDK/JRE 10.0.2
- Oracle Database Server 11.2.0.4 ※
- Oracle Database Server 12.1.0.2 ※
- Oracle Database Server 12.2.0.1 ※
- Oracle Database Server 18.1 ※
- Oracle Database Server 18.2 ※
- Oracle WebLogic Server 10.3.6.0 ※
- Oracle WebLogic Server 12.1.3.0 ※
- Oracle WebLogic Server 12.2.1.2 ※
- Oracle WebLogic Server 12.2.1.3 ※
※ 対策が施されたパッチ情報の詳細については、7月18日時点の公開情報では確認できませんでしたので、Oracle 社等に確認してください。
製品をアップデートした場合、対象製品を利用する他のアプリケーションが正常に動作しなくなる可能性があります。利用するアプリケーションへの影響を考慮した上で、更新してください。
Java SE Downloads
http://www.oracle.com/technetwork/java/javase/downloads/index.html
無料 Java のダウンロード
https://java.com/ja/download/
また、32bit 版 JDK/JRE、64bit 版 JDK/JRE のいずれか、または両方がインストールされている場合がありますので、利用している JDK/JRE をご確認の上、修正済みソフトウエアを適用してください。
お使いの Java のバージョンは次のページで確認可能です。32bit 版、64bit 版の両方の Java をインストールしている場合は、それぞれ 32bit 版、64bit 版のブラウザでバージョンを確認してください。(Java がインストールされていない環境では、Java のインストールが要求される可能性があります。不要な場合は、インストールしないように注意してください。)
Java のバージョンの確認
https://www.java.com/ja/download/installed.jsp
** 更新: 2018年 7月23日追記*******************************************WebLogic における脆弱性 CVE-2018-2628 および CVE-2018-2983 の悪用を防ぐ上で、T3/T3s プロトコルへの適切なアクセス制限 (フィルタ) を設定することをおすすめします。フィルタ設定に関する詳細は Oracle からのドキュメントを参照してください。
Oracle
ネットワーク接続フィルタの使い方
https://docs.oracle.com/cd/E72987_01/wls/SCPRG/con_filtr.htm
**************************************************
IV. 参考情報
Oracle Corporation
Oracle Critical Patch Update Advisory - July 2018
https://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html
Oracle Corporation
Release Notes for JDK 8 and JDK 8 Update Releases
http://www.oracle.com/technetwork/java/javase/8all-relnotes-2226344.html
Oracle Corporation
Java Development Kit 10 Release Notes
http://www.oracle.com/technetwork/java/javase/10u-relnotes-4108739.html
Oracle Corporation
Oracle Critical Patch Update for July 2018
https://blogs.oracle.com/portalsproactive/oracle-critical-patch-update-for-july-2018
日本オラクル株式会社
Oracle Java SEサポート・ロードマップ
http://www.oracle.com/technetwork/jp/java/eol-135779-ja.html
US-CERT
Oracle Releases July 2018 Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2018/07/17/Oracle-Releases-July-2018-Security-Bulletin
今回の件につきまして当センターまで提供いただける情報がございましたら、ご連絡ください。
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
前
コメント
共 有
