Javaの脆弱性対応しました (October 2017)
当社はメインの技術スタックがJavaになります。WEBサービス界隈ではだいたい驚かれます!!
先日、恒例のセキュリティアップデートがリリースされていたので当社環境もアップデートしました。メインで使用しているバージョンはJava8です。
脆弱性の内容
以下、14の脆弱性についてまとめてみましたが(英語力が低いので間違っているかもしれませんが・・・)、そのほとんどがJava Web Startアプリケーション、Javaアプレットを利用している際の脆弱性です。
退屈だと思いますので、スクロールして飛ばしてください(笑)。
- CVE-2017-10281
アタッカーに複数プロトコルによるネットワークアクセスを許してしまう悪用が簡単な脆弱性。攻撃が成功するとサービスが部分的に拒否(DOS)されます。この脆弱性はサンドボックス化されたJava Web Startアプリケーション、Javaアプレットを通じて悪用されます。また、指定されたコンポーネントのAPIにデータを提供することでも悪用できます。 - CVE-2017-10345
アタッカーに複数プロトコルによるネットワークアクセスを許してしまう悪用が難しい脆弱性。攻撃を成功させるには人間とのインタラクションが必要。攻撃が成功するとサービスが部分的に拒否(DOS)されます。この脆弱性はサンドボックス化されたJava Web Startアプリケーション、Javaアプレットを通じて悪用されます。また、指定されたコンポーネントのAPIにデータを提供することでも悪用できます。 - CVE-2017-10346
アタッカーに複数プロトコルによるネットワークアクセスを許してしまう悪用が簡単な脆弱性。攻撃を成功させるにはアタッカー以外の人間とのインタラクションが必要。攻撃が成功するとJavaを乗っ取ることができます。この脆弱性は通常、サンドボックス化されたJava Web Startアプリケーション、Javaアプレットで信頼できないコードを実行した際に適用されます。サーバーで信頼できるコードを実行した場合はあてはまりません。 - CVE-2017-10347
アタッカーに複数プロトコルによるネットワークアクセスを許してしまう悪用が簡単な脆弱性。攻撃が成功するとサービスが部分的に拒否(DOS)されます。この脆弱性は通常、サンドボックス化されたJava Web Startアプリケーション、Javaアプレットで信頼できないコードを実行した際に適用されます。サーバーで信頼できるコードを実行した場合はあてはまりません。 - CVE-2017-10285
アタッカーに複数プロトコルによるネットワークアクセスを許してしまう悪用が簡単な脆弱性。攻撃を成功させるにはアタッカー以外の人間とのインタラクションが必要。攻撃が成功するとJavaを乗っ取ることができます。この脆弱性は通常、サンドボックス化されたJava Web Startアプリケーション、Javaアプレットで信頼できないコードを実行した際に適用されます。サーバーで信頼できるコードを実行した場合はあてはまりません。 - CVE-2017-10356
アタッカーにインフラへのログオンを許してしまう悪用が簡単な脆弱性。攻撃が成功するとクリティカルなデータにアクセスしたり、Javaがアクセス可能なデータにアクセスできます。この脆弱性はサンドボックス化されたJava Web Startアプリケーション、Javaアプレットを通じて悪用されます。また、指定されたコンポーネントのAPIにデータを提供することでも悪用できます。 - CVE-2017-10355
アタッカーに複数プロトコルによるネットワークアクセスを許してしまう悪用が簡単な脆弱性。攻撃が成功するとサービスが部分的に拒否(DOS)されます。この脆弱性はサンドボックス化されたJava Web Startアプリケーション、Javaアプレットを通じて悪用されます。また、指定されたコンポーネントのAPIにデータを提供することでも悪用できます。 - CVE-2017-10295
アタッカーにHTTP経由によるネットワークアクセスを許してしまう悪用が難しい脆弱性。攻撃が成功するとJavaがアクセス可能なデータに対する書き換えができてしまいます。この脆弱性はサンドボックス化されたJava Web Startアプリケーション、Javaアプレットを通じて悪用されます。また、指定されたコンポーネントのAPIにデータを提供することでも悪用できます。 - CVE-2017-10348
アタッカーに複数プロトコルによるネットワークアクセスを許してしまう悪用が簡単な脆弱性。攻撃が成功するとサービスが部分的に拒否(DOS)されます。この脆弱性は通常、サンドボックス化されたJava Web Startアプリケーション、Javaアプレットで信頼できないコードを実行した際に適用されます。サーバーで信頼できるコードを実行した場合はあてはまりません。 - CVE-2017-10349
アタッカーに複数プロトコルによるネットワークアクセスを許してしまう悪用が簡単な脆弱性。攻撃が成功するとサービスが部分的に拒否(DOS)されます。この脆弱性は通常、サンドボックス化されたJava Web Startアプリケーション、Javaアプレットで信頼できないコードを実行した際に適用されます。サーバーで信頼できるコードを実行した場合はあてはまりません。 - CVE-2017-10350
アタッカーに複数プロトコルによるネットワークアクセスを許してしまう悪用が簡単な脆弱性。攻撃が成功するとサービスが部分的に拒否(DOS)されます。この脆弱性は通常、サンドボックス化されたJava Web Startアプリケーション、Javaアプレットで信頼できないコードを実行した際に適用されます。サーバーで信頼できるコードを実行した場合はあてはまりません。 - CVE-2017-10274
アタッカーに複数プロトコルによるネットワークアクセスを許してしまう悪用が難しい脆弱性。攻撃を成功させるにはアタッカー以外の人間とのインタラクションが必要。攻撃が成功するとクリティカルなデータやJavaがアクセス可能なデータに対する書き換えができてしまいます。この脆弱性は通常、サンドボックス化されたJava Web Startアプリケーション、Javaアプレットで信頼できないコードを実行した際に適用されます。サーバーで信頼できるコードを実行した場合はあてはまりません。 - CVE-2017-10357
アタッカーに複数プロトコルによるネットワークアクセスを許してしまう悪用が簡単な脆弱性。攻撃が成功するとサービスが部分的に拒否(DOS)されます。この脆弱性は通常、サンドボックス化されたJava Web Startアプリケーション、Javaアプレットで信頼できないコードを実行した際に適用されます。サーバーで信頼できるコードを実行した場合はあてはまりません。 - CVE-2017-10388
アタッカーにケルベロス経由によるネットワークアクセスを許してしまう悪用が難しい脆弱性。攻撃を成功させるにはアタッカー以外の人間とのインタラクションが必要。攻撃が成功するとJavaを乗っ取ることができます。Javaのケルベロスクライアントに適用されます。
影響を受けるJavaのバージョンは次のようになっています。
- Java6
6u161 - Java7
7u151 - Java8
8u144
脆弱性の対応方法
Amazon Linuxを使用しているため、yumリポジトリ側でパッケージが更新されていました。
$ sudo yum update java-1.8.0-openjdk
==============================================================================================================================
Package アーキテクチャー バージョン リポジトリー 容量
==============================================================================================================================
更新します:
java-1.8.0-openjdk x86_64 1:1.8.0.151-1.b12.35.amzn1 amzn-updates 244 k
依存性関連での更新をします:
java-1.8.0-openjdk-devel x86_64 1:1.8.0.151-1.b12.35.amzn1 amzn-updates 12 M
java-1.8.0-openjdk-headless x86_64 1:1.8.0.151-1.b12.35.amzn1 amzn-updates 39 M
トランザクションの要約
==============================================================================================================================
更新 1 パッケージ (+2 個の依存関係のパッケージ)
総ダウンロード容量: 51 M
終わりに
JavaアプレットですがJava9から非推奨になったみたいですね。
Java9も先月ようやくリリースされたので、これから新機能をいじっていきたいと思います。