Loading...

2010-04-16

Java Security Emergency Patch Recommended by Oracle

OracleがJavaの臨時アップデートを公開:
Sun Java Deployment Toolkitの脆弱性情報が公表され、攻撃が発生している。
米Oracleは4月15日(現地時間)、Javaの脆弱性を解決するための臨時アップデートを公開した。 脆弱性を突いた攻撃が既に発生している。
脆弱性は、Java SE と Java For Business に含まれる Java Deployment Toolkit と Javaプラグイン に存在する。
いずれも32ビット版のブラウザでJavaを実行した場合に影響を受ける。ユーザーが悪質なサイトを閲覧すると、攻撃者にシステム上でコマンドを実行されてしまう恐れがある。脆弱性の危険度を示すCVSSベーススコアは、最高の「10.0」となっている。
なお、サーバやスタンドアロンのJavaデスクトップアプリケーション、Oracleのサーバ向けソフトは影響を受けないという。
Oracleはこの問題を解決した JDK/JRE 6 Update 20を、Windows、Solaris、Linux向けにリリースした。脆弱性の危険度が高く、パッチをリリースする前に情報が公表されて注目が集まっていることから、Oracleでは Java の全ユーザーにアップデートを呼び掛けている。
2010年04月16日 08時08分 更新
Oracle Security Alert CVE-2010-0886
http://www.oracle.com/technology/deploy/security/alerts/alert-cve-2010-0886.html

Patch Availability
Customers who use default Java installation settings that include the automatic update of Java for security and other issues will have these fixes automatically applied over the next 30 days. Customers who do not have automatic update enabled or who want to immediately apply these important fixes, as is recommended by Oracle, should follow the instructions in the table below

Java Edition Product Group Patch Availability and Installation Information
Java SE JDK and JRE 6 Update 20 for Windows, Solaris, and Linux The link below is for Software Developers.
• http://java.sun.com/javase/downloads/index.jsp
JRE 6 Update 20 for Windows, Solaris, and Linux Follow the link below and click the "Free Java Download" button for instructions to install a complete version of Java with fixes for the vulnerabilities described in this Alert.
• http://java.com/
JRE 6 Update 20 for Windows Follow the link below and follow instructions to update Java with fixes for the vulnerabilities described in this Alert.
• Java Update
Java for Business JDK and JRE 6 Update 20 for Windows, Solaris and Linux Registered Java for Business users should follow the link below and select the "Java for Business Download Center" link.
• http://www.sun.com/software/javaseforbusiness/getit_download.jsp

Oracle strongly recommends that customers upgrade to these releases as soon as possible.

IPA: 04月16日掲載 【緊急対策情報】Oracle Sun Java Deployment Toolkit の脆弱性について

早速、My Notebook PC の OpenSolaris dev. b134 に jdk1.6.0_20 を適用した。
$ uname -a
SunOS ****** 5.11 snv_134 i86pc i386 i86pc Solaris
$ java -version
java -version "1.6.0_20"
Java(TM) SE Runtime Environment (build 1.6.0_20-b02)
Java HotSpot(TM) Client VM (build 16.3-b01, mixed mode, sharing)
インストール済みの Firefox 3.5.8 と Firefox 3.6.3 の java plugin を更新する。
Firefox 3.5.8
# rm -f /usr/lib/firefox/plugins/libnpjp2.so
# cd /usr/lib/firefox/plugins
# ln -s /usr/jdk/jdk1.6.0_20/jre/lib/i386/libnpjp2.so .

Firefox 3.6.3
# rm -f /usr/lib/firefox-3.6.3/plugins/libnpjp2.so
# cd /usr/lib/firefox-3.6.3/plugins
# ln -s /usr/jdk/jdk1.6.0_20/jre/lib/i386/libnpjp2.so .

Fig-01: Plugins on Firefox 3.5.3 / Firefox 3.6.3
on OpenSolaris prevciew dev. b134

0 Comments::