セキュリティブログ

【IPA/脆弱性情報】Oracle 製品のクリティカルパッチアップデートに関する注意喚起

2018.04.19

IPAさんとJPCERT/CCさんから4月18日、「Oracle 製品のクリティカルパッチアップデートに関する注意喚起」が出されています。

本件はOracle社が複数の製品に対するクリティカルアップデートに関する情報を公開したことを受け、発表されています。

※以下JPCERT/CCさんウェブサイトより抜粋

I. 概要

2018年4月17日(現地時間)、Oracle は、複数の製品に対するクリティカルアップデートに関する情報を公開しました。

Oracle Critical Patch Update Advisory – April 2018
http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html

脆弱性を悪用された場合、リモートからの攻撃によってアプリケーションが不正終了したり、任意のコードが実行されたりするなどの恐れがあります。対象となる製品を利用している場合には、アップデートの適用等を検討してください。

II. 対象

対象として、次の製品およびバージョンが含まれています。

– Java SE JDK/JRE 8 Update 162 およびそれ以前
– Java SE JDK/JRE 10
– Oracle WebLogic Portal 10.3.6.0.0 SPU より前のバージョン
– Oracle WebLogic Server 10.3.6.0.180417 PSU より前のバージョン
– Oracle WebLogic Server 12.1.3.0.180417 PSU より前のバージョン
– Oracle WebLogic Server 12.2.1.2.180417 PSU より前のバージョン
– Oracle WebLogic Server 12.2.1.3.180417 PSU より前のバージョン

ただし、対象となる製品およびバージョンは多岐に渡りますので、正確な情報は Oracle の情報を参照してください。

また、PC に Java JRE がプリインストールされている場合や、サーバで使用するソフトウエア製品に、WebLogic を使用している場合もあります。利用中の PC やサーバに対象となる製品が含まれていないかについても確認してください。

なお、Oracle によると Java SE について、既に公式アップデートを終了している Java SE JDK/JRE 6 および 7 も脆弱性の影響を受けるとのことです。Java SE JDK/JRE 9 については 2018年3月で公式アップデートが終了しています。

III. 対策

Oracle からそれぞれの製品に対して、修正済みソフトウエアが公開されています。Java SE 及び WebLogic では、次のバージョンが公開されています。

– Java SE JDK/JRE 8 Update 171
– Java SE JDK/JRE 10.0.1
– Oracle WebLogic Portal 10.3.6.0.0 SPU
– Oracle WebLogic Server 10.3.6.0.180417 PSU
– Oracle WebLogic Server 12.1.3.0.180417 PSU
– Oracle WebLogic Server 12.2.1.2.180417 PSU
– Oracle WebLogic Server 12.2.1.3.180417 PSU

製品をアップデートした場合、対象製品を利用する他のアプリケーションが正常に動作しなくなる可能性があります。利用するアプリケーションへの影響を考慮した上で、更新してください。

なお、Java SE JDK/JRE 8 Update について、クリティカルパッチアップデート(8u171) と同時に、複数バグの累積パッチであるパッチセットアップデート(8u172) が公開されています。8u172 には 8u171 の内容に加えて、脆弱性以外の修正も含まれていますので、必要に応じて適用を検討してください。

Java SE Downloads
http://www.oracle.com/technetwork/java/javase/downloads/index.html

無料 Java のダウンロード
https://java.com/ja/download/

また、32bit 版 JDK/JRE、64bit 版 JDK/JRE のいずれか、または両方がインストールされている場合がありますので、利用している JDK/JRE をご確認の上、修正済みソフトウエアを適用してください。

お使いの Java のバージョンは次のページで確認可能です。32bit 版、64bit 版の両方の Java をインストールしている場合は、それぞれ 32bit 版、64bit 版のブラウザでバージョンを確認してください。(Java がインストールされていない環境では、Java のインストールが要求される可能性があります。不要な場合は、インストールしないように注意してください。)

Java のバージョンの確認
https://www.java.com/ja/download/installed.jsp

今回の件につきまして当センターまで提供いただける情報がございましたら、ご連絡ください。

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/

Oracle 製品のクリティカルパッチアップデートに関する注意喚起/JPCERT/CCさんウェブサイトより

各社様、ご確認とご対応をお願い申し上げます。