ムラウチドットコム エンジニアブログ

日本最大級ブログランキング「にほんブログ村」、シンプルなブログサービス「muragon」を運営するムラウチドットコム メディアグループのエンジニアブログです。

Javaの脆弱性対応しました (October 2017)

当社はメインの技術スタックがJavaになります。WEBサービス界隈ではだいたい驚かれます!!


先日、恒例のセキュリティアップデートがリリースされていたので当社環境もアップデートしました。メインで使用しているバージョンはJava8です。


脆弱性の内容

以下、14の脆弱性についてまとめてみましたが(英語力が低いので間違っているかもしれませんが・・・)、そのほとんどがJava Web Startアプリケーション、Javaアプレットを利用している際の脆弱性です。
退屈だと思いますので、スクロールして飛ばしてください(笑)。

  • CVE-2017-10281
    アタッカーに複数プロトコルによるネットワークアクセスを許してしまう悪用が簡単な脆弱性。攻撃が成功するとサービスが部分的に拒否(DOS)されます。この脆弱性はサンドボックス化されたJava Web Startアプリケーション、Javaアプレットを通じて悪用されます。また、指定されたコンポーネントのAPIにデータを提供することでも悪用できます。
  • CVE-2017-10345
    アタッカーに複数プロトコルによるネットワークアクセスを許してしまう悪用が難しい脆弱性。攻撃を成功させるには人間とのインタラクションが必要。攻撃が成功するとサービスが部分的に拒否(DOS)されます。この脆弱性はサンドボックス化されたJava Web Startアプリケーション、Javaアプレットを通じて悪用されます。また、指定されたコンポーネントのAPIにデータを提供することでも悪用できます。
  • CVE-2017-10346
    アタッカーに複数プロトコルによるネットワークアクセスを許してしまう悪用が簡単な脆弱性。攻撃を成功させるにはアタッカー以外の人間とのインタラクションが必要。攻撃が成功するとJavaを乗っ取ることができます。この脆弱性は通常、サンドボックス化されたJava Web Startアプリケーション、Javaアプレットで信頼できないコードを実行した際に適用されます。サーバーで信頼できるコードを実行した場合はあてはまりません。
  • CVE-2017-10347
    アタッカーに複数プロトコルによるネットワークアクセスを許してしまう悪用が簡単な脆弱性。攻撃が成功するとサービスが部分的に拒否(DOS)されます。この脆弱性は通常、サンドボックス化されたJava Web Startアプリケーション、Javaアプレットで信頼できないコードを実行した際に適用されます。サーバーで信頼できるコードを実行した場合はあてはまりません。
  • CVE-2017-10285
    アタッカーに複数プロトコルによるネットワークアクセスを許してしまう悪用が簡単な脆弱性。攻撃を成功させるにはアタッカー以外の人間とのインタラクションが必要。攻撃が成功するとJavaを乗っ取ることができます。この脆弱性は通常、サンドボックス化されたJava Web Startアプリケーション、Javaアプレットで信頼できないコードを実行した際に適用されます。サーバーで信頼できるコードを実行した場合はあてはまりません。
  • CVE-2017-10356
    アタッカーにインフラへのログオンを許してしまう悪用が簡単な脆弱性。攻撃が成功するとクリティカルなデータにアクセスしたり、Javaがアクセス可能なデータにアクセスできます。この脆弱性はサンドボックス化されたJava Web Startアプリケーション、Javaアプレットを通じて悪用されます。また、指定されたコンポーネントのAPIにデータを提供することでも悪用できます。
  • CVE-2017-10355
    アタッカーに複数プロトコルによるネットワークアクセスを許してしまう悪用が簡単な脆弱性。攻撃が成功するとサービスが部分的に拒否(DOS)されます。この脆弱性はサンドボックス化されたJava Web Startアプリケーション、Javaアプレットを通じて悪用されます。また、指定されたコンポーネントのAPIにデータを提供することでも悪用できます。
  • CVE-2017-10295
    アタッカーにHTTP経由によるネットワークアクセスを許してしまう悪用が難しい脆弱性。攻撃が成功するとJavaがアクセス可能なデータに対する書き換えができてしまいます。この脆弱性はサンドボックス化されたJava Web Startアプリケーション、Javaアプレットを通じて悪用されます。また、指定されたコンポーネントのAPIにデータを提供することでも悪用できます。
  • CVE-2017-10348
    アタッカーに複数プロトコルによるネットワークアクセスを許してしまう悪用が簡単な脆弱性。攻撃が成功するとサービスが部分的に拒否(DOS)されます。この脆弱性は通常、サンドボックス化されたJava Web Startアプリケーション、Javaアプレットで信頼できないコードを実行した際に適用されます。サーバーで信頼できるコードを実行した場合はあてはまりません。
  • CVE-2017-10349
    アタッカーに複数プロトコルによるネットワークアクセスを許してしまう悪用が簡単な脆弱性。攻撃が成功するとサービスが部分的に拒否(DOS)されます。この脆弱性は通常、サンドボックス化されたJava Web Startアプリケーション、Javaアプレットで信頼できないコードを実行した際に適用されます。サーバーで信頼できるコードを実行した場合はあてはまりません。
  • CVE-2017-10350
    アタッカーに複数プロトコルによるネットワークアクセスを許してしまう悪用が簡単な脆弱性。攻撃が成功するとサービスが部分的に拒否(DOS)されます。この脆弱性は通常、サンドボックス化されたJava Web Startアプリケーション、Javaアプレットで信頼できないコードを実行した際に適用されます。サーバーで信頼できるコードを実行した場合はあてはまりません。
  • CVE-2017-10274
    アタッカーに複数プロトコルによるネットワークアクセスを許してしまう悪用が難しい脆弱性。攻撃を成功させるにはアタッカー以外の人間とのインタラクションが必要。攻撃が成功するとクリティカルなデータやJavaがアクセス可能なデータに対する書き換えができてしまいます。この脆弱性は通常、サンドボックス化されたJava Web Startアプリケーション、Javaアプレットで信頼できないコードを実行した際に適用されます。サーバーで信頼できるコードを実行した場合はあてはまりません。
  • CVE-2017-10357
    アタッカーに複数プロトコルによるネットワークアクセスを許してしまう悪用が簡単な脆弱性。攻撃が成功するとサービスが部分的に拒否(DOS)されます。この脆弱性は通常、サンドボックス化されたJava Web Startアプリケーション、Javaアプレットで信頼できないコードを実行した際に適用されます。サーバーで信頼できるコードを実行した場合はあてはまりません。
  • CVE-2017-10388
    アタッカーにケルベロス経由によるネットワークアクセスを許してしまう悪用が難しい脆弱性。攻撃を成功させるにはアタッカー以外の人間とのインタラクションが必要。攻撃が成功するとJavaを乗っ取ることができます。Javaのケルベロスクライアントに適用されます。


影響を受けるJavaのバージョンは次のようになっています。

  • Java6
    6u161
  • Java7
    7u151
  • Java8
    8u144


脆弱性の対応方法

Amazon Linuxを使用しているため、yumリポジトリ側でパッケージが更新されていました。

$ sudo yum update java-1.8.0-openjdk
==============================================================================================================================
Package アーキテクチャー バージョン リポジトリー 容量
==============================================================================================================================
更新します:
java-1.8.0-openjdk x86_64 1:1.8.0.151-1.b12.35.amzn1 amzn-updates 244 k
依存性関連での更新をします:
java-1.8.0-openjdk-devel x86_64 1:1.8.0.151-1.b12.35.amzn1 amzn-updates 12 M
java-1.8.0-openjdk-headless x86_64 1:1.8.0.151-1.b12.35.amzn1 amzn-updates 39 M

トランザクションの要約
==============================================================================================================================
更新 1 パッケージ (+2 個の依存関係のパッケージ)

総ダウンロード容量: 51 M


終わりに

JavaアプレットですがJava9から非推奨になったみたいですね。



Java9も先月ようやくリリースされたので、これから新機能をいじっていきたいと思います。

×

非ログインユーザーとして返信する