Java Runtime Environment (JRE) の LDAP 実装におけるセキュリティ脆弱性により、サービス拒否 (DoS) および不正なコードの実行が可能

BY admin
|
カテゴリ
セキュリティ
リリースフェーズ
解決済み

バグ ID
6717680, 6737315
解決リリース日
2009/03/24
Javaランタイム環境(JRE)のLDAP実装にサービス拒否(DoS)や悪意のあるコードを実行される可能性があります。
1. 影響
CR 6717680。
CR 6737315: Java Runtime Environment (JRE) の LDAP 接続初期化のセキュリティ脆弱性により、リモートクライアントが LDAP サービスに対してサービス拒否 (DoS) 状態を引き起こす可能性があります。
CR 6737315: Java Runtime Environment の LDAP クライアント実装のセキュリティ脆弱性により、LDAP サーバからの悪意のあるデータにより、LDAP クライアント上で悪意のあるコードが予期せずロードされ実行される可能性があります。 この問題は、Windows、Solaris、および Linux 用の以下の Java SE および Java SE for Business リリースで発生します。

  • JDK and JRE 5.0 Update 17 and earlier
  • JDK and JRE 6 Update 12 and earlier

そして Windows、Solaris および Linux 用の以下の Java SE for Business リ リースで発生します。4.2_19 およびそれ以前 および Windows および Solaris 用の次の Java SE リリースでは、

  • SDK および JRE 1.3.X が必要です。1_24 and earlier

システムにインストールされている Java のバージョンを確認するには、次のコマンドを使用します。

 % java -version
java version "1.5.0_17

Internet Explorer が使用する JRE のデフォルトバージョンを確認するには、次の URL を参照してください:

  • http://java.com/en/download/installed.jsp?detect=jre&try=1

Mozilla または Firefox ブラウザが使用する JRE のデフォルトバージョンを確認するには、URL “about:plugins” にアクセスしてください。 この例では、ブラウザが使用するJREのバージョンは6Update 11.
3です。症状
CR 6717680で説明されている問題が発生すると、LDAPサービスが応答しなくなることがあります。
CR 6737315で説明されている問題が悪用されたことを示す信頼できる症状はありません。
4. 回避策
これらの問題に対する回避策はありません。 以下の解決策をご参照ください。 解決策
これらの問題は、以下のリリースで対処されています。

  • JDK and JRE 6 Update 13 以降
  • JDK and JRE 5.0 以降
      JDK and JRE 6 Update 13 以降

    • JDK and JRE 5.0 以降
    。0 Update 18 以降
    、および Windows、Solaris、Linux 用の Java SE for Business リリースでは、

    • SDK および JRE 1.4.2_20 以降

    、Windows と Solaris の Java SE リリースでは

    • SDK および JRE 1.3.0 以降が含まれています。1_25 以降

    Java SE リリース:
    JDK および JRE 6 Update 13:

    • http://java.sun.com/javase/downloads/index.jsp

      • JRE 6 Update 13:

      • http://java.com/
      • Through the Java Updatetool for Microsoft Windows users

      Solaris 用 JDK 6 Update 13 は下記のパッチで利用可能です。

      • Java SE 6: update 13 (as delivered in patch 125136-14)
      • Java SE 6: update 13 (as delivered in patch 125137-14 (64bit))
      • Java SE 6_x86: update 13 (パッチ 125138-14 で配信)
      • Java SE 6_x86: update 13 (パッチ 125139-14 (64 ビット) で配信)

      JDK および JRE 5.X.X.X.X.X.X.X.X.X.X.X.X.X.X.X.X.X.X.X.X.X.X.X.X.0 Update 18:

      • http://java.sun.com/javase/downloads/index_jdk5.jsp

      JDK 5.0 Update 18 for Solaris は、以下のパッチで提供されます。

      • J2SE 5.0: update 18 (as delivered in patch 118666-19)
      • J2SE 5.0: update 18 (as delivered in patch 118667-19 (64bit))
      • J2SE 5.1: update 18 (is published by 118666)
          J2SE 5.1: Update 18 (is published in patch 118666-19) (64bit)0_x86: update 18 (as delivered in patch 118668-19)
      • J2SE 5.0_x86: update 18 (as delivered in patch 118669-19 (64bit))

      Java SE for Business releases are available at:

      • http://www.sun.com/software/javaseforbusiness/getit_download.jsp

      Note 1: Java SE releasedSDK and JRE 1.4.2 has completed the Sun End of Service Life (EOSL) process. Sunは、ユーザーが最新のJava SEリリースにアップグレードすることを推奨しています。 注2:SDKおよびJRE 1.3.1は、SunのEOSL(End of Service Life)プロセスを完了しており、Solaris 8およびVintage Support Offeringsサポート契約(http://java.sun.com/j2se/1.3/download.htmlを参照)のあるお客様のみサポートされます。
      注意3:Solarisパッチ以外のソースから製品の新しいバージョンをインストールする場合、影響を受ける古いバージョンをシステムから削除することをお勧めします。Windowsプラットフォームで影響を受ける古いバージョンを削除するには、

      • http://www.java.com/en/download/help/5000010800.xml

      セキュリティSunアラートに関する詳細については、1009886.1.
      このSunアラートの通知は現状のままでお客様に提供されます。 このSunアラート通知には、第三者によって提供された情報が含まれている場合があります。 この Sun Alert 通知に記載されている問題は、お客様のシステムには影響しない場合があります。 Sun は、ここに含まれる情報について、いかなる表明、保証、または確約を行うものではありません。 また、商品性、特定目的への適合性、権利の不侵害に関する保証を含むがこれに限定されない、明示または黙示のあらゆる保証は、ここに放棄されるものとします。 本書に含まれる情報の使用または不使用に起因する直接的、間接的、偶発的、懲罰的、または結果的損害について、SUNはいかなる場合も責任を負わないことを、本書にアクセスすることによりお客様は認識することになります。 この Sun Alert 通知には、Sun の専有情報および機密情報が含まれています。 この通知は、Sun からサービスを購入するお客様の契約、またはそのような契約を結んでいない場合は Sun.com の利用規約の規定に従って提供されるものです。 この Sun Alertnotification は、これらの契約によって意図された目的でのみ使用することができます