-----BEGIN PGP SIGNED MESSAGE----- Translations of CA-96.07.java_bytecode_verifier, (c) 1996,1997 by Carnegie Mellon University, with special permission from the Software Engineering Institute. Accuracy and interpretation of this translation are the responsibility of the Japan Computer Emergency Response Team/Coordination Center. The SEI has not participated in this translation. The CERT* Advisories and other CERT publications are available on the Internet (http://www.cert.org/ or ftp://info.cert.org/pub/). Readers may learn about the latest updates to these publications at these locations. *Registered in the U.S. Patent and Trademark Office. ============================================================================= CERT(*) Advisory CA-96.07 Original issue date: March 29, 1996 Last revised: September 24,1997 Updated copyright statement A complete revision history is at the end of this file. Topic: Weaknesses in Java Bytecode Verifier - ----------------------------------------------------------------------------- ============================================================================= CERT(*) 勧告 CA-96.07 初版: 1996年3月29日 最終改訂: 1997年9月24日 著作権表示の部分を更新した。 完全な改訂履歴はこの勧告の最後に添付されている。 主題: Java Bytecode Verifier の弱点 - ----------------------------------------------------------------------------- The CERT Coordination Center has received reports of weaknesses in the bytecode verifier portion of Sun Microsystems' Java Development Kit (JDK) versions 1.0 and 1.0.1. The JDK is built into Netscape Navigator 2.0 and 2.01. We have not received reports of the exploitation of this vulnerability. CERT コーディネーションセンターは、Sun Microsystems が提供する Java Development Kit (JDK) バージョン 1.0 と 1.0.1 の bytecode verifier に弱点が あると報告を受けた。JDK は Netscape Navigator の 2.0 と 2.01 に組み込まれて いる。このセキュリティ上の弱点が実際に悪用されたという報告はない。 When applets written with malicious intent are viewed, those applets can perform any operation that the legitimate user can perform on the machine running the browser. For example, a maliciously written applet could remove files from the machine on which the browser is running--but only if the legitimate user could also. 悪意のもとに書かれたアプレットが表示されると、ブラウザを実行しているマシン 上で正規ユーザができる操作と同じことが、このアプレットにもできてしまう。た とえば、悪意のもとに書かれたアプレットは、(正規ユーザがファイルを消去できる なら) ブラウザを実行しているマシン上のファイルを消去できる可能性がある。 Problem applets have to be specifically written with malicious intent, and users are at risk only when connecting to "untrusted" web pages. If you use Java-enabled products on a closed network or browse the World Wide Web but never connect to "untrusted" web pages, you are not affected. 問題となるのは、はっきりと悪意を持って書かれたアプレットに限られる。そして、 ユーザが危険にさらされるのは、「信用できない」web ページに接続した時のみで ある。もし、Java を利用できる製品を閉じたネットワークで使用しているならば、 または、World Wide Web を利用しているが「信用できない」web ページには接続し ないならば、読者に影響はない。 The CERT staff recommends disabling Java in Netscape Navigator and not using Sun's appletviewer to browse applets from untrusted sources until patches are available from these vendors. We further recommend upgrading to Netscape 2.02 but still disabling Java and JavaScript if you don't need these programs. CERT スタッフは、ベンダからパッチが提供されるまでは、信用できないところから のアプレットを表示しないように Netscape Navigator の Java を使用不能にする と共に、Sun の appletviewer を使用しないことを推奨する。さらに、Netscape を 2.02 にアップグレードし、必要がないならば Java と JavaScript を使用不能にす ることを推奨する。 We will update this advisory as we receive additional information. Please check advisory files regularly for updates that relate to your site. 新たな情報を得た場合は、この勧告を更新する。自分のサイトに関連した勧告の改 訂に備え、定期的に勧告を確認して頂きたい。 - ----------------------------------------------------------------------------- I. Description I. 解説 The Java Programming Language is designed to allow an executable computer program, called an applet, to be attached to a page viewable by a World Wide Web browser. When a user browsing the Web visits that page, the applet is automatically downloaded onto the user's machine and executed, but only if Java is enabled. Java プログラミング言語は、アプレットと呼ばれる実行可能なコンピュータ プログラムを、World Wide Web ブラウザで表示できるページに取り込められ るように設計されている。Web を閲覧しているユーザがそのページを訪れた場 合、もし、Java を実行可能にしていれば、アプレットが自動的にユーザのマ シンにダウンロードされ実行される。 It is possible for an applet to generate and execute raw machine code on the machine where the browser is running. This means that a maliciously written applet can perform any action that the legitimate user can perform; for example, an applet can read, delete, or change files that the user owns. Because applets are loaded and run automatically as a side-effect of visiting a Web page, someone could "booby-trap" their Web page and compromise the machine of anyone visiting the page. This is the problem described in the Wall Street Journal on March 26, 1996 ("Researchers Find Big Security Flaw in Java Language," by Don Clark). アプレットには、ブラウザを実行しているマシン上で、そのマシン用のマシン コードを生成し実行する機能がある。つまり、悪意のあるアプレットは、正規 ユーザが行える操作の全てを実行できる。たとえば、アプレットを表示してい るユーザが所有するファイルがアプレットによって読まれる、削除される、あ るいは変更される可能性がある。アプレットのある Web ページを閲覧すると、 その副作用として、アプレットが自動的にロードされ実行される。このため、 Web ページに「罠」をしかけることで、そのページを閲覧するユーザのマシン を攻撃できるかもしれない。この問題は、1996年3月26日付の Wall Street Journal で紹介された (Don Clark 著、"Researchers Find Big Security Flaw in Java Language")。 Note: The security enhancements announced by Sun Microsystems in JDK version 1.0.1 and by Netscape Communications in Netscape Navigator version 2.01 do *not* fix this flaw. 注意: Sun Microsystems が JDK バージョン 1.0.1 に関して、そして、 Netscape Communications が Netscape Navigator version 2.01 に関 して発表したセキュリティ強化では、この問題は解決されない。 II. Impact II. 影響 If Java is enabled and a Web page containing a maliciously written applet is viewed by any of the vulnerable browsers or Sun's appletviewer, that applet can perform any operation that the legitimate user can perform. For example, the applet could read, delete, or in other ways corrupt the user's files and any other files the user has access to, such as /etc/passwd. もし、Java を実行可能にして、セキュリティ上の弱点のあるブラウザか Sun の appletviewer を用いて、悪意のあるアプレットを含む Web ページを表示 した場合、そのアプレットは正規ユーザが行える操作の全てを実行できてしま う。たとえば、そのようなアプレットによって、ユーザが所有するファイルや /etc/passwd などのユーザがアクセスできるファイルを読まれる、削除される、 あるいは破壊される可能性がある。 III. Solution III. 対策 We recommend obtaining vendor patches as soon as they become available. Until you can install the patches, we urge you to apply the workarounds described below. ベンダからのパッチが利用可能になり次第入手することを推奨する。パッチを インストールするまでは、以下の対策を講じることを要請する。 A. Java Development Kit users A. Java Development Kit ユーザ Sun reports that source-level fixes will be supplied to source licensees in the next few days. The fixes will also be included in the next JDK version, v1.0.2, which will be released within the next several weeks. Sun は、ソースライセンスを持っているユーザへソースレベルでの修正を 2、3 日中に提供すると報告した。この修正は、数週間後にリリースされる JDK のバージョン v1.0.2 にも組み込まれる予定である。 The JDK itself is a development kit, and it can safely be used to develop applets and applications. If you choose to use the appletviewer as a rudimentary browser, do not use it to browse applets from untrusted sources until you have installed the v1.0.2 browser. JDK 自体は開発キットであり、アプレットとアプリケーションを作成する 用途では安全に使用できる。もし、appletviewer を簡易ブラウザとして使 用しているならば、v1.0.2 ブラウザをインストールするまでは、信用でき ないところからのアプレットを表示してはならない。 B. Netscape users B. Netscape ユーザ Upgrade to Netscape version 2.02, which addresses the Java Bytecode Verifier problems discussed in the advisory. Netscape バージョン 2.02 にアップグレードすること。バージョン 2.02 では、この勧告で説明した Java Bytecode Verifier の問題が解決されて いる。 Until you can do so, if you use Netscape 2.0 or 2.01, disable Java using the "Security Preferences" dialog box. You do not need to disable JavaScript as part of this workaround. もし Netscape 2.0 か 2.01 を利用しているならは、アップグレードする までは "Security Preferences" ダイアグボックスを使って Java を使用 不能にすること。対策の一部として JavaScript を使用不能にする必要は ない。 After you update to version 2.02, you should still disable Java and JavaScript if these programs are not being used. (This also applies to Netscape Version 3.0b4.) Note that in order to display Netscape's home page, you must have JavaScript enabled. バージョン 2.02 にアップグレードした後は、もし使用するつもりがない ならば、Java と JavaScript を使用不能にするべきである。(このことは、 Netscape バージョン 3.0b4 にも当てはまる。) Netscape のホームページ を表示するには、JavaScript を使用可能にしておく必要があることに注意 して欲しい。 For the latest news about fixes for Netscape Navigator, consult the following for details: Netscape Navigator の修正に関する最新の情報は、以下を参照のこと。 http://home.netscape.com/ Netscape 2.02 and additional information about it are available from Netscape 2.02 とそれに関するより詳しい情報は以下から入手可能である。 http://home.netscape.com/eng/mozilla/2.02/relnotes/ IV. Information for HotJava (alpha3) users IV. HotJava (alpha3) ユーザのための情報 Sun Microsystems has provided the following information for users of HotJava (alpha3). Sun Microsystems は HotJava (alpha3) ユーザのために、以下の情報を提供 した。 Sun made available last year a demonstration version of a browser called "HotJava." That version (alpha3) is proof-of-concept software only, not a product. HotJava (alpha3) uses an entirely different security architecture from JDK 1.0 or JDK 1.0.1. It will not be tested for any reported security vulnerabilities that it might be susceptible to, and Sun neither supports it nor recommends its use as a primary browser. When HotJava is released as a product, it will be based on an up-to-date version of the JDK and fully supported. Sun は、昨年 "HotJava" と呼ばれるブラウザをデモ版として世に送り出 した。このバージョン (alpha3) は、「概念を実証する」ソフトウェア であり、製品ではない。HotJava (alpha3) は、JDK 1.0 と JDK 1.0.1 とは全く異なるセキュリティ機構を利用している。この機構は、既に報 告されているセキュリティ上の弱点に関係がありそうなものに対して全 くテストされていない。Sun は HotJava (alpha3) をサポートしないし、 また、主に使うブラウザとして利用することを推奨しない。HotJava を 製品としてリリースするときは、最新バージョンの JDK を使い、これを 完全にサポートするであろう。 V. Information for Macintosh users V. Macintosh ユーザのための情報 Macintosh version 2.01 does not support Java, so there is nothing to disable as part of the solution to the problems described in this advisory. Macintosh バージョン 2.01 は Java をサポートしていない。よって、この勧 告で説明した対策を講じる必要はない。 - --------------------------------------------------------------------------- The CERT Coordination Center thanks Drew Dean, Ed Felten, and Dan Wallach of Princeton University for providing information for this advisory. We thank Netscape Communications Corporation and Sun Microsystems, Inc. for their response to this problem. - --------------------------------------------------------------------------- - --------------------------------------------------------------------------- CERT コーディネーションセンターは、この勧告に関する情報を提供していただいた Princeton 大学の Drew Dean 氏と Ed Felton 氏、Dan Wallach 氏に感謝する。そ して、この問題に対応していただいた Netscape Communications Corporation と Sun Microsystems, Inc. に感謝する。 - --------------------------------------------------------------------------- If you believe that your system has been compromised, contact the CERT Coordination Center or your representative in the Forum of Incident Response and Security Teams (FIRST). もし、自分のサイトのシステムが侵入されたと思ったときは、CERT コーディネーショ ンセンター、あるいは近くの FIRST (Forum of Incident Response and Security Teams) 加盟チームに連絡して欲しい。 We strongly urge you to encrypt any sensitive information you send by email. The CERT Coordination Center can support a shared DES key and PGP. Contact the CERT staff for more information. 電子メールで重要な情報を送るときは、暗号化することを強く要請する。CERT コー ディネーションセンターは、DES と PGP を使用できる。詳細は CERT スタッフに問 い合わせて欲しい。 Location of CERT PGP key CERT の PGP 公開鍵の入手場所 ftp://info.cert.org/pub/CERT_PGP.key CERT Contact Information - ------------------------ Email cert@cert.org Phone +1 412-268-7090 (24-hour hotline) CERT personnel answer 8:30-5:00 p.m. EST (GMT-5)/EDT(GMT-4), and are on call for emergencies during other hours. Fax +1 412-268-6989 Postal address CERT Coordination Center Software Engineering Institute Carnegie Mellon University Pittsburgh PA 15213-3890 USA CERT へのコンタクト方法 - ----------------------- 電子メール cert@cert.org 電話 +1 412-268-7090 (24-hour hotline) CERT personnel answer 8:30-5:00 p.m. EST (GMT-5)/EDT(GMT-4), and are on call for emergencies during other hours. ファックス +1 412-268-6989 住所 CERT Coordination Center Software Engineering Institute Carnegie Mellon University Pittsburgh PA 15213-3890 USA CERT publications, information about FIRST representatives, and other security-related information are available for anonymous FTP from CERT の発行文書、FIRST に関する情報、その他セキュリティに関する情報は、 anonymous FTP により以下から入手できる。 http://www.cert.org/ ftp://info.cert.org/pub/ CERT advisories and bulletins are also posted on the USENET newsgroup CERT 勧告と公報は、USENET の次のニュースグループにも投稿されている。 comp.security.announce To be added to our mailing list for CERT advisories and bulletins, send your email address to CERT 勧告と公報を提供するメーリングリストを購読したい場合は、次のアドレスに 自分の電子メールアドレスを書いて送って欲しい。 cert-advisory-request@cert.org - ------------------------------------------------------------------------------ Copyright 1996 Carnegie Mellon University. Conditions for use, disclaimers, and sponsorship information can be found in http://www.cert.org/legal_stuff.html and ftp://ftp.cert.org/pub/legal_stuff . If you do not have FTP or web access, send mail to cert@cert.org with "copyright" in the subject line. Copyright 1996 Carnegie Mellon University. 使用条件、免責事項、スポンサーと の契約に関する情報については、http://www.cert.org/legal_stuff.html あるいは ftp://ftp.cert.org/pub/legal_stuff から入手できる。もし、FTP や web による アクセスが不可能な場合は、cert@cert.org 宛にメールを送って欲しい。そのとき にはサブジェクト行に "copyright" と書くこと。 CERT is registered in the U.S. Patent and Trademark Office. CERT は合衆国特許商標庁に登録済みである。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Revision history Sep. 24, 1997 Updated copyright statement Aug. 30, 1996 Information previously in the README was inserted into the advisory. June 26, 1996 Introduction - added a note about Netscape 2.02. Sec. III.B - added a pointer to Netscape 2.02 and a recommendation about disabling Java and JavaScript. Apr. 1, 1996 Sec. III.B - added a note about viewing Netscape's home page. Sec. V - added this section for Macintosh users. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 改訂履歴 1997年9月24日 著作権表示の部分を更新した。 1996年8月30日 以前 README に記載されていた情報がこの勧告に盛り込まれた。 1996年6月26日 序文 - Netscape 2.02 に関する注釈を追加した。 III.B 章 - Netscape 2.02 の情報へのポインタと、Java と JavaScript を使用不能にする推奨を追加した。 1996年4月1日 III.B 章 - Netscape のホームページの表示に関する注釈を追加し た。 V 章 - Macintosh ユーザの章を追加した。 - ---------------------------------------------------------------------------- JPCERT/CC 改訂履歴 2000年8月25日 最新情報の URL の更新 1999年8月9日 ヘッダの誤字の修正。 フッタの更新。 1998年3月13日 初版 ====================== この文書の取扱に関する注意事項 ====================== この文書は、原著作権者から翻訳の許諾を受け、JPCERT/CC が独自に翻訳し た文書です。この翻訳文書を商業目的に使用することを禁止します。また JPCERT/CC の許諾なく再配布することを禁止します。 翻訳にあたっては、誤訳や誤解を生じるような表現をなくすように努力して おりますが、もし万が一不具合を見つけた場合には、JPCERT/CC にご連絡頂け れば幸いです。また、それ以外にも、この翻訳に関して質問等がある場合には、 JPCERT/CC にご連絡をお願い致します。連絡先は次の通りです。 info@jpcert.or.jp この翻訳文書は、随時更新される可能性がありますので、最新情報について は、次を参照してください。 http://www.jpcert.or.jp/tr/cert_advisories/ また翻訳文書の原文書も随時更新される可能性がありますので、そちらも参 照してください。翻訳文書と原文書のバージョンが異なる場合には、原文書が 最新情報です。 ===================== JPCERT/CC からのお知らせとお願い ===================== 本文書で解説した不正アクセスも含め、インターネット上で引き起こされる さまざまな不正アクセスに関する情報がありましたら、JPCERT/CC 所定の報告 様式にご記載のうえ、関連するログファイルのメッセージとともに、次のアド レスまでお送りください。 info@jpcert.or.jp 報告様式等、JPCERT/CC への連絡方法につきまして、詳しくは次の URL を ご参照下さい。 http://www.jpcert.or.jp/contact.html JPCERT/CC に頂いた報告は、報告者の了解なしに、そのまま他組織等に開示 することはありません。JPCERT/CC の組織概要につきましては、次の URL を ご参照ください。 http://www.jpcert.or.jp/ JPCERT/CC では、不正アクセスに関する情報を迅速にご提供するために、メー リングリストを開設しています。登録の方法等、詳しくは、次の URL をご参 照ください。 http://www.jpcert.or.jp/announce.html __________ 注: この文書は、不正アクセスに対する一般的な情報提供を目的としており、特定 の個人や組織に対する個別のコンサルティングが目的ではありません。そのため、 個別の問題に関するお問い合わせ等に必ずお答えできるとは限りません。また、お 答えできる場合でもご回答が遅れる可能性があります。 JPCERT/CC は、この文書に記載された情報の内容が正確であるよう努めていますが、 正確性を含め一切の品質についてこれを保証致しません。この文書に記載された情 報に基づいて、貴方あるいは貴組織がとられる行動、あるいはとられなかった行動 によって、直接的、間接的または偶発的に引き起こされた結果に対して、JPCERT/CC は何ら保証致しません。 -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia iQCVAwUBOaXnrox1ay4slNTtAQFpPQQAlwf5d0V8UR2o6bIdB0jH2IghoKdwug1t UqtZWhYR1AHcTnIoZ9drU+yKlAWNh7+uYVdrZ3PuEQIdJBJfoKlRL+4AzNpgLREn GTSeZ+/E4LYgamGIaTAI/QXPz89j2kgrNnYkPk6Pp9i73fyxp+m7gktQqgYe9HO0 /MtYoKhRVvw= =mD5V -----END PGP SIGNATURE-----