JPCERT-AT-2020-0040
JPCERT/CC
2020-10-21(新規)
2020-11-04(更新)
Oracle Critical Patch Update Advisory - October 2020
https://www.oracle.com/security-alerts/cpuoct2020.html
脆弱性が悪用された場合、リモートからの攻撃によって、不正な操作が実行されたり、機微な情報を不正に削除や改ざんされたりする可能性があります。対象となる製品を利用している場合には、アップデートの適用等を検討してください。
- Java SE JDK/JRE 15
- Java SE JDK/JRE 11.0.8
- Java SE JDK/JRE 8u261
- Java SE JDK/JRE 7u271
- Java SE Embedded 8u261
- Oracle Database Server 19c
- Oracle Database Server 18c
- Oracle Database Server 12.2.0.1
- Oracle Database Server 12.1.0.2
- Oracle Database Server 11.2.0.4
- Oracle WebLogic Server 14.1.1.0.0
- Oracle WebLogic Server 12.2.1.4.0
- Oracle WebLogic Server 12.2.1.3.0
- Oracle WebLogic Server 12.1.3.0.0
- Oracle WebLogic Server 10.3.6.0.0
ただし、その他の対象となる製品およびバージョンは多岐に渡るため、正確な情報は Oracle の情報を参照してください。
また、PC に Java JRE がプリインストールされている場合や、サーバーで使用するソフトウェア製品に、WebLogic Server を使用している場合もあります。利用中の PC やサーバーに対象となる製品が含まれていないかについても、確認してください。
日本オラクル株式会社
Oracle Java SE サポート・ロードマップ
https://www.oracle.com/jp/java/technologies/java-se-support-roadmap.html
- Java SE JDK/JRE 15.0.1
- Java SE JDK/JRE 11.0.9
- Java SE JDK/JRE 8u271
- Java SE JDK/JRE 7u281
- Java SE Embedded 8u271
- Oracle Database Server ※
- Oracle WebLogic Server ※
※ 2020年10月21日現在、公開情報から対策が施されたパッチに関する情報は確認できませんでした。詳細は Oracle 等に確認してください。
製品をアップデートした場合、対象製品を利用する他のアプリケーションが正常に動作しなくなる可能性があります。利用するアプリケーションへの影響を考慮した上で、更新してください。
Java SE Downloads
https://www.oracle.com/technetwork/java/javase/downloads/index.html
無料Javaのダウンロード
https://java.com/ja/download/
また、32bit 版 JDK/JRE、64bit 版 JDK/JRE のいずれか、または両方がインストールされている場合がありますので、利用している JDK/JRE をご確認の上、修正済みソフトウェアを適用してください。
お使いの Java のバージョンは次のページで確認可能です。32bit 版、64bit 版の両方の Java をインストールしている場合は、それぞれ 32bit 版、64bit 版のブラウザでバージョンを確認してください。(Java がインストールされていない環境では、Java のインストールが要求される可能性があります。不要な場合は、インストールしないように注意してください。)
Javaのバージョンの確認
https://www.java.com/ja/download/installed.jsp
Oracle Corporation
Oracle Critical Patch Update Advisory - October 2020
https://www.oracle.com/security-alerts/cpuoct2020.html
Oracle Corporation
Listing of Java Development Kit 15 Release Notes
https://www.oracle.com/java/technologies/javase/15u-relnotes.html
Oracle Corporation
Listing of Java Development Kit 11 Release Notes
https://www.oracle.com/java/technologies/javase/11u-relnotes.html
Oracle Corporation
Java Development Kit 8 Update Release Notes
https://www.oracle.com/java/technologies/javase/8u-relnotes.html
Oracle Corporation
Java SE 7 Advanced and Java SE 7 Support (formerly known as Java for Business 7) Release Notes
https://www.oracle.com/java/technologies/javase/7-support-relnotes.html
Oracle Corporation
Oracle Java SE Embedded 8 Release Notes
https://www.oracle.com/java/technologies/javase/embedded8-relnotes.html
Oracle Corporation
October 2020 Critical Patch Update Released
https://blogs.oracle.com/security/october-2020-critical-patch-update-released
日本オラクル株式会社
Oracle Java SE サポート・ロードマップ
https://www.oracle.com/jp/java/technologies/java-se-support-roadmap.html
今回の件につきまして提供いただける情報がございましたら、JPCERT/CC までご連絡ください。
2020-11-04 「I. 概要」の更新
一般社団法人JPCERTコーディネーションセンター (JPCERT/CC)
早期警戒グループ
Email: [email protected]
JPCERT/CC
2020-10-21(新規)
2020-11-04(更新)
I. 概要
2020年10月20日(現地時間)、Oracle は、複数の製品に対するクリティカルパッチアップデートに関する情報を公開しました。Oracle Critical Patch Update Advisory - October 2020
https://www.oracle.com/security-alerts/cpuoct2020.html
脆弱性が悪用された場合、リモートからの攻撃によって、不正な操作が実行されたり、機微な情報を不正に削除や改ざんされたりする可能性があります。対象となる製品を利用している場合には、アップデートの適用等を検討してください。
更新: 2020年11月4日追記
2020年11月1日(現地時間)、Oracle は、Oracle WebLogic Server の新たな脆弱性 (CVE-2020-14750) に関するアドバイザリを公開しました。本脆弱性は、2020年10月に修正された Oracle WebLogic Server の脆弱性 (CVE-2020-14882)に関係するもので、認証されていない遠隔の第三者が、認証情報 (ユーザー名やパスワード) を必要とせず、任意のコードを実行する可能性があります。
Oracle Security Alert Advisory - CVE-2020-14750
https://www.oracle.com/security-alerts/alert-cve-2020-14750.html
JPCERT/CC は、2020年10月28日以降、脆弱性 (CVE-2020-14882) の悪用を試みる通信を観測しており、脆弱性を実証するコードが公開されていることも確認しています。Oracle WebLogic Server を利用している場合、速やかな対策実施を推奨いたします。また、対策を未実施の場合、既に当該製品が侵害を受けている可能性があるため、侵害有無の確認や調査の実施もご検討ください。
Oracle Security Alert Advisory - CVE-2020-14750
https://www.oracle.com/security-alerts/alert-cve-2020-14750.html
JPCERT/CC は、2020年10月28日以降、脆弱性 (CVE-2020-14882) の悪用を試みる通信を観測しており、脆弱性を実証するコードが公開されていることも確認しています。Oracle WebLogic Server を利用している場合、速やかな対策実施を推奨いたします。また、対策を未実施の場合、既に当該製品が侵害を受けている可能性があるため、侵害有無の確認や調査の実施もご検討ください。
II. 対象
対象として、次の製品およびバージョンが含まれています。- Java SE JDK/JRE 15
- Java SE JDK/JRE 11.0.8
- Java SE JDK/JRE 8u261
- Java SE JDK/JRE 7u271
- Java SE Embedded 8u261
- Oracle Database Server 19c
- Oracle Database Server 18c
- Oracle Database Server 12.2.0.1
- Oracle Database Server 12.1.0.2
- Oracle Database Server 11.2.0.4
- Oracle WebLogic Server 14.1.1.0.0
- Oracle WebLogic Server 12.2.1.4.0
- Oracle WebLogic Server 12.2.1.3.0
- Oracle WebLogic Server 12.1.3.0.0
- Oracle WebLogic Server 10.3.6.0.0
ただし、その他の対象となる製品およびバージョンは多岐に渡るため、正確な情報は Oracle の情報を参照してください。
また、PC に Java JRE がプリインストールされている場合や、サーバーで使用するソフトウェア製品に、WebLogic Server を使用している場合もあります。利用中の PC やサーバーに対象となる製品が含まれていないかについても、確認してください。
日本オラクル株式会社
Oracle Java SE サポート・ロードマップ
https://www.oracle.com/jp/java/technologies/java-se-support-roadmap.html
III. 対策
Oracle からそれぞれの製品に対して、修正済みソフトウェアが公開されています。Java SE、Oracle Database および WebLogic では、次のバージョンが公開されています。- Java SE JDK/JRE 15.0.1
- Java SE JDK/JRE 11.0.9
- Java SE JDK/JRE 8u271
- Java SE JDK/JRE 7u281
- Java SE Embedded 8u271
- Oracle Database Server ※
- Oracle WebLogic Server ※
※ 2020年10月21日現在、公開情報から対策が施されたパッチに関する情報は確認できませんでした。詳細は Oracle 等に確認してください。
製品をアップデートした場合、対象製品を利用する他のアプリケーションが正常に動作しなくなる可能性があります。利用するアプリケーションへの影響を考慮した上で、更新してください。
Java SE Downloads
https://www.oracle.com/technetwork/java/javase/downloads/index.html
無料Javaのダウンロード
https://java.com/ja/download/
また、32bit 版 JDK/JRE、64bit 版 JDK/JRE のいずれか、または両方がインストールされている場合がありますので、利用している JDK/JRE をご確認の上、修正済みソフトウェアを適用してください。
お使いの Java のバージョンは次のページで確認可能です。32bit 版、64bit 版の両方の Java をインストールしている場合は、それぞれ 32bit 版、64bit 版のブラウザでバージョンを確認してください。(Java がインストールされていない環境では、Java のインストールが要求される可能性があります。不要な場合は、インストールしないように注意してください。)
Javaのバージョンの確認
https://www.java.com/ja/download/installed.jsp
IV. 参考情報
Oracle Corporation
Oracle Critical Patch Update Advisory - October 2020
https://www.oracle.com/security-alerts/cpuoct2020.html
Oracle Corporation
Listing of Java Development Kit 15 Release Notes
https://www.oracle.com/java/technologies/javase/15u-relnotes.html
Oracle Corporation
Listing of Java Development Kit 11 Release Notes
https://www.oracle.com/java/technologies/javase/11u-relnotes.html
Oracle Corporation
Java Development Kit 8 Update Release Notes
https://www.oracle.com/java/technologies/javase/8u-relnotes.html
Oracle Corporation
Java SE 7 Advanced and Java SE 7 Support (formerly known as Java for Business 7) Release Notes
https://www.oracle.com/java/technologies/javase/7-support-relnotes.html
Oracle Corporation
Oracle Java SE Embedded 8 Release Notes
https://www.oracle.com/java/technologies/javase/embedded8-relnotes.html
Oracle Corporation
October 2020 Critical Patch Update Released
https://blogs.oracle.com/security/october-2020-critical-patch-update-released
日本オラクル株式会社
Oracle Java SE サポート・ロードマップ
https://www.oracle.com/jp/java/technologies/java-se-support-roadmap.html
今回の件につきまして提供いただける情報がございましたら、JPCERT/CC までご連絡ください。
改訂履歴
2020-10-21 初版2020-11-04 「I. 概要」の更新
一般社団法人JPCERTコーディネーションセンター (JPCERT/CC)
早期警戒グループ
Email: [email protected]
