各位
2022年4月Oracle製品のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2022/at220012.html
I. 概要2022年4月19日(米国時間)、Oracleは複数の製品に対するクリティカルパッチアップデートに関する情報を公開しました。
Oracle Corporation
Oracle Critical Patch Update Advisory - April 2022
https://www.oracle.com/security-alerts/cpuapr2022.html
脆弱性が悪用された場合、リモートからの攻撃によって、不正な操作が実行されたり機微な情報を不正に削除や改ざんされたりするなどの可能性があります。対象となる製品およびバージョンは多岐にわたるため、対象となる製品を利用している場合にはOracleの情報を参照し、アップデートの適用などを検討してください。
** 更新: 2022年4月22日追記 ****************
これらの脆弱性の内、Oracle Java SE、Oracle GraalVM Enterprise Editionが影響を受ける脆弱性(CVE-2022-21449)について、2022年4月19日に脆弱性の発見者が詳細を解説する記事を公開しています。
脆弱性が悪用されると、細工したデジタル署名を用いた第三者が、ECDSA署名方式による署名検証を成功させ、不正にデータにアクセスするなどの可能性が指摘されています。詳細および最新の情報については、Oracle Corporationや脆弱性の発見者などが提供する情報を参照いただき、対策実施を検討してください。
Neil Madden
CVE-2022-21449: Psychic Signatures in Java
https://neilmadden.blog/2022/04/19/psychic-signatures-in-java/
Oracle Corporation
Text Form of Risk Matrix for Oracle Java SE
https://www.oracle.com/security-alerts/cpuapr2022verbose.html#JAVA
**************************************************
II. 対策Oracleからそれぞれの製品に対して、修正済みソフトウェアが公開されています。製品をアップデートした場合、対象製品を利用する他のアプリケーションが正常に動作しなくなる可能性があります。利用するアプリケーションへの影響を考慮した上で、更新してください。
PCにJava JREがプリインストールされている場合や、サーバーで使用するソフトウェア製品に、WebLogic Serverを使用している場合もあります。利用中のPCやサーバーに対象となる製品が含まれていないかについても、確認してください。
Javaの最新のバージョンは次のページからダウンロード可能です。
日本オラクル株式会社
全オペレーティング・システム用のJavaのダウンロード
https://java.com/ja/download/manual.jsp
III. 参考情報
日本オラクル株式会社
Oracle Java SE Supportロードマップ
https://www.oracle.com/jp/java/technologies/java-se-support-roadmap.html
Oracle Corporation
Critical Patch Updates, Security Alerts and Bulletins
https://www.oracle.com/security-alerts/
Oracle Corporation
April 2022 Critical Patch Update Released
https://blogs.oracle.com/security/post/april-2022-cpu-released
** 更新: 2022年4月22日追記 ****************
OpenJDK
OpenJDK Vulnerability Advisory: 2022/04/19
https://openjdk.java.net/groups/vulnerability/advisories/2022-04-19
**************************************************
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
________
改訂履歴
2022-04-20 初版
2022-04-22 「I. 概要」「III. 参考情報」の追記
==============================
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
JPCERT-AT-2022-0012
JPCERT/CC
2022-04-20(新規)
2022-04-22(更新)
JPCERT/CC Alert 2022-04-20
2022年4月Oracle製品のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2022/at220012.html
I. 概要2022年4月19日(米国時間)、Oracleは複数の製品に対するクリティカルパッチアップデートに関する情報を公開しました。
Oracle Corporation
Oracle Critical Patch Update Advisory - April 2022
https://www.oracle.com/security-alerts/cpuapr2022.html
脆弱性が悪用された場合、リモートからの攻撃によって、不正な操作が実行されたり機微な情報を不正に削除や改ざんされたりするなどの可能性があります。対象となる製品およびバージョンは多岐にわたるため、対象となる製品を利用している場合にはOracleの情報を参照し、アップデートの適用などを検討してください。
** 更新: 2022年4月22日追記 ****************
これらの脆弱性の内、Oracle Java SE、Oracle GraalVM Enterprise Editionが影響を受ける脆弱性(CVE-2022-21449)について、2022年4月19日に脆弱性の発見者が詳細を解説する記事を公開しています。
脆弱性が悪用されると、細工したデジタル署名を用いた第三者が、ECDSA署名方式による署名検証を成功させ、不正にデータにアクセスするなどの可能性が指摘されています。詳細および最新の情報については、Oracle Corporationや脆弱性の発見者などが提供する情報を参照いただき、対策実施を検討してください。
Neil Madden
CVE-2022-21449: Psychic Signatures in Java
https://neilmadden.blog/2022/04/19/psychic-signatures-in-java/
Oracle Corporation
Text Form of Risk Matrix for Oracle Java SE
https://www.oracle.com/security-alerts/cpuapr2022verbose.html#JAVA
**************************************************
II. 対策Oracleからそれぞれの製品に対して、修正済みソフトウェアが公開されています。製品をアップデートした場合、対象製品を利用する他のアプリケーションが正常に動作しなくなる可能性があります。利用するアプリケーションへの影響を考慮した上で、更新してください。
PCにJava JREがプリインストールされている場合や、サーバーで使用するソフトウェア製品に、WebLogic Serverを使用している場合もあります。利用中のPCやサーバーに対象となる製品が含まれていないかについても、確認してください。
Javaの最新のバージョンは次のページからダウンロード可能です。
日本オラクル株式会社
全オペレーティング・システム用のJavaのダウンロード
https://java.com/ja/download/manual.jsp
III. 参考情報
日本オラクル株式会社
Oracle Java SE Supportロードマップ
https://www.oracle.com/jp/java/technologies/java-se-support-roadmap.html
Oracle Corporation
Critical Patch Updates, Security Alerts and Bulletins
https://www.oracle.com/security-alerts/
Oracle Corporation
April 2022 Critical Patch Update Released
https://blogs.oracle.com/security/post/april-2022-cpu-released
** 更新: 2022年4月22日追記 ****************
OpenJDK
OpenJDK Vulnerability Advisory: 2022/04/19
https://openjdk.java.net/groups/vulnerability/advisories/2022-04-19
**************************************************
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
________
改訂履歴
2022-04-20 初版
2022-04-22 「I. 概要」「III. 参考情報」の追記
==============================
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
前
コメント
共 有
