各位
2020年4月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2020/at200017.html
I. 概要2020年4月14日(現地時間)、Oracle は、複数の製品に対するクリティカルパッチアップデートに関する情報を公開しました。
Oracle Critical Patch Update Advisory - April 2020
https://www.oracle.com/security-alerts/cpuapr2020.html
脆弱性が悪用された場合、リモートからの攻撃によって、サービス運用妨害 (DoS)攻撃が行われたり、不正な操作が実行されたりする可能性があります。対象となる製品を利用している場合には、アップデートの適用等を検討してください。
II. 対象対象として、次の製品およびバージョンが含まれています。
- Java SE JDK/JRE 14
- Java SE JDK/JRE 11.0.6
- Java SE JDK/JRE 8u241
- Java SE JDK/JRE 7u251
- Java SE Embedded 8u241
- Oracle Database Server 19c
- Oracle Database Server 18c
- Oracle Database Server 12.2.0.1
- Oracle Database Server 12.1.0.2
- Oracle Database Server 11.2.0.4
- Oracle WebLogic Server 12.2.1.4.0
- Oracle WebLogic Server 12.2.1.3.0
- Oracle WebLogic Server 12.1.3.0.0
- Oracle WebLogic Server 10.3.6.0.0
ただし、その他の対象となる製品およびバージョンは多岐に渡るため、正確な情報は Oracle の情報を参照してください。
また、PC に Java JRE がプリインストールされている場合や、サーバで使用するソフトウエア製品に、WebLogic Server を使用している場合もあります。利用中の PC やサーバに対象となる製品が含まれていないかについても、確認してください。
なお、Java SE JDK/JRE 13 については、2020年3月にサポートが終了しているためアップデートを検討してください。
日本オラクル株式会社
Oracle Java SE サポート・ロードマップ
https://www.oracle.com/technetwork/jp/java/eol-135779-ja.html
III. 対策Oracle からそれぞれの製品に対して、修正済みソフトウエアが公開されています。Java SE、Oracle Database および WebLogic では、次のバージョンが公開されています。
- Java SE JDK/JRE 14.0.1
- Java SE JDK/JRE 11.0.7
- Java SE JDK/JRE 8u251
- Java SE JDK/JRE 7u261
- Java SE Embedded 8u251
- Oracle Database Server ※
- Oracle WebLogic Server ※
※ 2020年4月15日現在、公開情報から対策が施されたパッチに関する情報は確認できませんでした。詳細は Oracle 等に確認してください。
** 更新: 2020年04月16日追記 ****************
Oracle によると、下記の軽減策により脆弱性の影響を軽減できますが、アプリケーションが正常に動作しなくなる可能性があるため検証環境での事前確認を強く推奨するとのことです。
・攻撃に利用される通信プロトコルを FW 等でブロックする
・特定の権限や特定のパッケージへのアクセスを必要とする攻撃に対しては、権限が不要なユーザーの権限を削除したり、パッケージにアクセスできないようにする
**************************************************
製品をアップデートした場合、対象製品を利用する他のアプリケーションが正常に動作しなくなる可能性があります。利用するアプリケーションへの影響を考慮した上で、更新してください。
Java SE Downloads
https://www.oracle.com/technetwork/java/javase/downloads/index.html
無料Javaのダウンロード
https://java.com/ja/download/
また、32bit 版 JDK/JRE、64bit 版 JDK/JRE のいずれか、または両方がインストールされている場合がありますので、利用している JDK/JRE をご確認の上、修正済みソフトウエアを適用してください。
お使いの Java のバージョンは次のページで確認可能です。32bit 版、64bit 版の両方の Java をインストールしている場合は、それぞれ 32bit 版、64bit 版のブラウザでバージョンを確認してください。(Java がインストールされていない環境では、Java のインストールが要求される可能性があります。不要な場合は、インストールしないように注意してください。)
Javaのバージョンの確認
https://www.java.com/ja/download/installed.jsp
IV. 参考情報
Oracle Corporation
Oracle Critical Patch Update Advisory - April 2020
https://www.oracle.com/security-alerts/cpuapr2020.html
Oracle Corporation
Listing of Java Development Kit 14 Release Notes
https://www.oracle.com/technetwork/java/javase/14u-relnotes-6361871.html
Oracle Corporation
Java Development Kit 11 Release Notes
https://www.oracle.com/technetwork/java/javase/11u-relnotes-5093844.html
Oracle Corporation
Java Development Kit 8 Update Release Notes
https://www.oracle.com/technetwork/java/javase/8u-relnotes-2225394.html
Oracle Corporation
Java SE 7 Advanced and Java SE 7 Support (formerly known as Java for Business 7)
https://www.oracle.com/technetwork/java/javase/documentation/javase7supportreleasenotes-1601161.html
Oracle Corporation
Oracle Java SE Embedded 8 Release Notes
https://www.oracle.com/technetwork/java/javase/embedded8-releasenotes-2406080.html
Oracle Corporation
April 2020 Critical Patch Update Released
https://blogs.oracle.com/security/april-2020-critical-patch-update-released
日本オラクル株式会社
Oracle Java SE サポート・ロードマップ
https://www.oracle.com/technetwork/jp/java/eol-135779-ja.html
今回の件につきまして提供いただける情報がございましたら、JPCERT/CC までご連絡ください。
________
改訂履歴
2020-04-15 初版
2020-04-16 「III. 対策」の修正
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
早期警戒グループ
Email: ew-info@jpcert.or.jp
JPCERT-AT-2020-0017
JPCERT/CC
2020-04-15(新規)
2020-04-16(更新)
JPCERT/CC Alert 2020-04-15
2020年4月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2020/at200017.html
I. 概要2020年4月14日(現地時間)、Oracle は、複数の製品に対するクリティカルパッチアップデートに関する情報を公開しました。
Oracle Critical Patch Update Advisory - April 2020
https://www.oracle.com/security-alerts/cpuapr2020.html
脆弱性が悪用された場合、リモートからの攻撃によって、サービス運用妨害 (DoS)攻撃が行われたり、不正な操作が実行されたりする可能性があります。対象となる製品を利用している場合には、アップデートの適用等を検討してください。
II. 対象対象として、次の製品およびバージョンが含まれています。
- Java SE JDK/JRE 14
- Java SE JDK/JRE 11.0.6
- Java SE JDK/JRE 8u241
- Java SE JDK/JRE 7u251
- Java SE Embedded 8u241
- Oracle Database Server 19c
- Oracle Database Server 18c
- Oracle Database Server 12.2.0.1
- Oracle Database Server 12.1.0.2
- Oracle Database Server 11.2.0.4
- Oracle WebLogic Server 12.2.1.4.0
- Oracle WebLogic Server 12.2.1.3.0
- Oracle WebLogic Server 12.1.3.0.0
- Oracle WebLogic Server 10.3.6.0.0
ただし、その他の対象となる製品およびバージョンは多岐に渡るため、正確な情報は Oracle の情報を参照してください。
また、PC に Java JRE がプリインストールされている場合や、サーバで使用するソフトウエア製品に、WebLogic Server を使用している場合もあります。利用中の PC やサーバに対象となる製品が含まれていないかについても、確認してください。
なお、Java SE JDK/JRE 13 については、2020年3月にサポートが終了しているためアップデートを検討してください。
日本オラクル株式会社
Oracle Java SE サポート・ロードマップ
https://www.oracle.com/technetwork/jp/java/eol-135779-ja.html
III. 対策Oracle からそれぞれの製品に対して、修正済みソフトウエアが公開されています。Java SE、Oracle Database および WebLogic では、次のバージョンが公開されています。
- Java SE JDK/JRE 14.0.1
- Java SE JDK/JRE 11.0.7
- Java SE JDK/JRE 8u251
- Java SE JDK/JRE 7u261
- Java SE Embedded 8u251
- Oracle Database Server ※
- Oracle WebLogic Server ※
※ 2020年4月15日現在、公開情報から対策が施されたパッチに関する情報は確認できませんでした。詳細は Oracle 等に確認してください。
** 更新: 2020年04月16日追記 ****************
Oracle によると、下記の軽減策により脆弱性の影響を軽減できますが、アプリケーションが正常に動作しなくなる可能性があるため検証環境での事前確認を強く推奨するとのことです。
・攻撃に利用される通信プロトコルを FW 等でブロックする
・特定の権限や特定のパッケージへのアクセスを必要とする攻撃に対しては、権限が不要なユーザーの権限を削除したり、パッケージにアクセスできないようにする
**************************************************
製品をアップデートした場合、対象製品を利用する他のアプリケーションが正常に動作しなくなる可能性があります。利用するアプリケーションへの影響を考慮した上で、更新してください。
Java SE Downloads
https://www.oracle.com/technetwork/java/javase/downloads/index.html
無料Javaのダウンロード
https://java.com/ja/download/
また、32bit 版 JDK/JRE、64bit 版 JDK/JRE のいずれか、または両方がインストールされている場合がありますので、利用している JDK/JRE をご確認の上、修正済みソフトウエアを適用してください。
お使いの Java のバージョンは次のページで確認可能です。32bit 版、64bit 版の両方の Java をインストールしている場合は、それぞれ 32bit 版、64bit 版のブラウザでバージョンを確認してください。(Java がインストールされていない環境では、Java のインストールが要求される可能性があります。不要な場合は、インストールしないように注意してください。)
Javaのバージョンの確認
https://www.java.com/ja/download/installed.jsp
IV. 参考情報
Oracle Corporation
Oracle Critical Patch Update Advisory - April 2020
https://www.oracle.com/security-alerts/cpuapr2020.html
Oracle Corporation
Listing of Java Development Kit 14 Release Notes
https://www.oracle.com/technetwork/java/javase/14u-relnotes-6361871.html
Oracle Corporation
Java Development Kit 11 Release Notes
https://www.oracle.com/technetwork/java/javase/11u-relnotes-5093844.html
Oracle Corporation
Java Development Kit 8 Update Release Notes
https://www.oracle.com/technetwork/java/javase/8u-relnotes-2225394.html
Oracle Corporation
Java SE 7 Advanced and Java SE 7 Support (formerly known as Java for Business 7)
https://www.oracle.com/technetwork/java/javase/documentation/javase7supportreleasenotes-1601161.html
Oracle Corporation
Oracle Java SE Embedded 8 Release Notes
https://www.oracle.com/technetwork/java/javase/embedded8-releasenotes-2406080.html
Oracle Corporation
April 2020 Critical Patch Update Released
https://blogs.oracle.com/security/april-2020-critical-patch-update-released
日本オラクル株式会社
Oracle Java SE サポート・ロードマップ
https://www.oracle.com/technetwork/jp/java/eol-135779-ja.html
今回の件につきまして提供いただける情報がございましたら、JPCERT/CC までご連絡ください。
________
改訂履歴
2020-04-15 初版
2020-04-16 「III. 対策」の修正
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
早期警戒グループ
Email: ew-info@jpcert.or.jp
前
コメント
共 有
