セキュリティブログ

【注意喚起/脆弱性情報/IPA】 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起

2017.10.19

独立行政法人 情報処理推進機構(IPA)さんから10月18日、「2017年 10月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起」が発表されています。

当脆弱性情報はOracle社の発表を受けたもので、この脆弱性を突かれた場合、リモートでJavaが不正終了させられたり、任意のコードが実行されたりする可能性があります。

※以下、IPAさんウェブサイトより抜粋

各位

                                                   JPCERT-AT-2017-0041
                                                             JPCERT/CC
                                                            2017-10-18

                  <<< JPCERT/CC Alert 2017-10-18 >>>

2017年 10月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起

            https://www.jpcert.or.jp/at/2017/at170041.html


I. 概要
Oracle の Java SE JDK および JRE には、複数の脆弱性があります。
脆弱性を悪用された場合、リモートからの攻撃によって Java が不正終了した
り、任意のコードが実行されたりする恐れがあります。脆弱性の詳細について
は、Oracle の情報を確認してください。

Oracle が提供する修正済みソフトウエアへアップデートすることをお勧めし
ます。

    Oracle Critical Patch Update Advisory - October 2017
    http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html


II. 対象
対象となる製品とバージョンは次の通りです。

  - Java SE JDK/JRE 8 Update 144 およびそれ以前
  - Java SE JDK/JRE 9

※ Oracle によると既に公式アップデートを終了している Java SE JDK/JRE 6
   および 7 も脆弱性の影響を受けるとのことです。

※ 一部メーカー製 PC では、JRE がプリインストールされている場合があり
   ます。念のため、利用中の PC に JRE がインストールされているかどうか
   を確認してください。


III. 対策
Oracle から修正済みソフトウエアが公開されています。次の修正済みソフト
ウエアへアップデートを行ってください。

  - Java SE JDK/JRE 8 Update 151
  - Java SE JDK/JRE 9.0.1

  ※ 今回の Java SE JDK/JRE 8 Update について、クリティカルパッチアッ
     プデート (8u151) と同時に、複数バグの累積パッチであるパッチセット
     アップデート (8u152) が公開されています。8u152 には 8u151 の内容
     に加えて、脆弱性以外の修正も含まれていますので、必要に応じて適用
     を検討してください。

    Java SE Downloads
    http://www.oracle.com/technetwork/java/javase/downloads/index.html

    無料 Java のダウンロード
    https://java.com/ja/download/

また、64bit 版 Windows を使用している場合、32bit 版 JDK/JRE、64bit 版
JDK/JRE のいずれか、または両方がインストールされている場合がありますの
で、利用している JDK/JRE をご確認の上、修正済みソフトウエアを適用して
ください。

お使いの Java のバージョンは次のページで確認可能です。なお、32bit 版、
64bit 版の両方の Java をインストールしている場合は、それぞれ 32bit 版、
64bit 版のブラウザでバージョンを確認してください。(Java がインストール
されていない環境では、Java のインストールが要求される可能性があります。
不要な場合は、インストールしないように注意してください。)

    Java のバージョンの確認
    https://www.java.com/ja/download/installed.jsp

※ Java を最新に更新した場合、一部の Java 上で動作するアプリケーション
   が動作しなくなる可能性があります。利用するアプリケーションへの影響
   を考慮した上で、更新してください。


IV. 参考情報
    Oracle Corporation
    Oracle Critical Patch Update Advisory - October 2017
    http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html

    Oracle Corporation
    Release Notes for JDK 8 and JDK 8 Update Releases
    http://www.oracle.com/technetwork/java/javase/8all-relnotes-2226344.html

    Oracle Corporation
    Release Notes for JDK 9 and JDK 9 Update Releases
    http://www.oracle.com/technetwork/java/javase/9all-relnotes-3704433.html

    Oracle Corporation
    Oracle Critical Patch Update for October 2017 Released
    https://blogs.oracle.com/portalsproactive/oracle-critical-patch-update-for-october-2017-released

    日本オラクル株式会社
    Oracle Java SEサポート・ロードマップ
    http://www.oracle.com/technetwork/jp/java/eol-135779-ja.html

    US-CERT
    Oracle Releases Security Bulletin
    https://www.us-cert.gov/ncas/current-activity/2017/10/17/Oracle-Releases-Security-Bulletin


  今回の件につきまして当センターまで提供いただける情報がございましたら、
ご連絡ください。

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600  FAX: 03-3518-4602
https://www.jpcert.or.jp/

 

※ここまで

ご確認とご対応をよろしくお願いいたします。