JPCERT コーディネーションセンター

2019年 1月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起

各位

JPCERT-AT-2019-0003
JPCERT/CC
2019-01-16

JPCERT/CC Alert 2019-01-16

2019年 1月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起

https://www.jpcert.or.jp/at/2019/at190003.html


I. 概要2019年 1月15日(現地時間)、Oracle は、複数の製品に対するクリティカルパッチアップデートに関する情報を公開しました。

Oracle Critical Patch Update Advisory - January 2019
https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html

脆弱性を悪用された場合、リモートからの攻撃によってアプリケーションが不正終了したり、任意のコードが実行されたりするなどの恐れがあります。対象となる製品を利用している場合には、アップデートの適用等を検討してください。


II. 対象対象として、次の製品およびバージョンが含まれています。

- Java SE JDK/JRE 8 Update 192 およびそれ以前
- Java SE JDK/JRE 11.0.1 およびそれ以前
- Oracle Database Server 11.2.0.4
- Oracle Database Server 12.1.0.2
- Oracle Database Server 12.2.0.1
- Oracle Database Server 18c
- Oracle WebLogic Server 10.3.6.0
- Oracle WebLogic Server 12.1.3.0
- Oracle WebLogic Server 12.2.1.3

ただし、対象となる製品およびバージョンは多岐に渡りますので、正確な情報は Oracle の情報を参照してください。

また、PC に Java JRE がプリインストールされている場合や、サーバで使用するソフトウエア製品に、WebLogic を使用している場合もあります。利用中の PC やサーバに対象となる製品が含まれていないかについても確認してください。

なお、Oracle によると Java SE について、既に公式アップデートを終了している Java SE JDK/JRE 7 も脆弱性の影響を受けるとのことです。

また、Java SE JDK/JRE 6 の Extended Support は 2018年12月に終了しています。そのため、今回のクリティカルパッチアップデートに関する情報では、Java SE JDK/JRE 6 の記載はありません。


III. 対策Oracle からそれぞれの製品に対して、修正済みソフトウエアが公開されています。Java SE、Oracle Database および WebLogic では、次のバージョンが公開されています。

- Java SE JDK/JRE 8 Update 201
- Java SE JDK/JRE 11.0.2
- Oracle Database Server 11.2.0.4 ※
- Oracle Database Server 12.1.0.2 ※
- Oracle Database Server 12.2.0.1 ※
- Oracle Database Server 18c ※
- Oracle WebLogic Server 10.3.6.0 ※
- Oracle WebLogic Server 12.1.3.0 ※
- Oracle WebLogic Server 12.2.1.3 ※

※ 対策が施されたパッチ情報の詳細については、1月16日時点の公開情報では確認できませんでしたので、Oracle 社等に確認してください。

なお、Java SE JDK/JRE 8 Update について、クリティカルパッチアップデート (8u201) と同時に、アップデート (8u202) が公開されています。8u202 には 8u201 の内容に加えて、脆弱性以外の修正も含まれていますので、必要に応じて適用を検討してください。

製品をアップデートした場合、対象製品を利用する他のアプリケーションが正常に動作しなくなる可能性があります。利用するアプリケーションへの影響を考慮した上で、更新してください。

Java SE Downloads
https://www.oracle.com/technetwork/java/javase/downloads/index.html

無料Javaのダウンロード
https://java.com/ja/download/

また、32bit 版 JDK/JRE、64bit 版 JDK/JRE のいずれか、または両方がインストールされている場合がありますので、利用している JDK/JRE をご確認の上、修正済みソフトウエアを適用してください。

お使いの Java のバージョンは次のページで確認可能です。32bit 版、64bit 版の両方の Java をインストールしている場合は、それぞれ 32bit 版、64bit 版のブラウザでバージョンを確認してください。(Java がインストールされていない環境では、Java のインストールが要求される可能性があります。不要な場合は、インストールしないように注意してください。)

Javaのバージョンの確認
https://www.java.com/ja/download/installed.jsp

また、Oracle によると、今月 2019年1月をもって、商用ユーザに向けた JavaSE 8 の公式アップデートの提供が終了します。今後 Java SE を継続利用する商用ユーザは、Oracle が提供する情報を元に、後継のバージョンへの移行等の検討をしてください。

Oracle
Oracle Java SE サポート・ロードマップ
https://www.oracle.com/technetwork/jp/java/eol-135779-ja.html

IPA
公式アップデートの提供方法の変更に伴う Java SE の商用ユーザに向けた注意喚起
https://www.ipa.go.jp/security/announce/java8_eol.html


IV. 参考情報
Oracle Corporation
Oracle Critical Patch Update Advisory - January 2019
https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html

Oracle Corporation
Release Notes for JDK 8 and JDK 8 Update Releases
https://www.oracle.com/technetwork/java/javase/8all-relnotes-2226344.html

Oracle Corporation
Java Development Kit 11 Release Notes
https://www.oracle.com/technetwork/java/javase/11u-relnotes-5093844.html

Oracle Corporation
January 2019 Critical Patch Update Released
https://blogs.oracle.com/oraclesecurity/jan2019cpu-released

日本オラクル株式会社
Oracle Java SE サポート・ロードマップ
https://www.oracle.com/technetwork/jp/java/eol-135779-ja.html

US-CERT
Oracle Releases January 2019 Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2019/01/15/Oracle-Releases-January-2019-Security-Bulletin


今回の件につきまして当センターまで提供いただける情報がございましたら、ご連絡ください。

==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-6271-8901 FAX: 03-6271-8908
https://www.jpcert.or.jp/
Topへ
最新情報(RSSメーリングリストTwitter