SunのJava実行環境に致命的レベルの脆弱性 42
ストーリー by yoosee
転ばぬ先のアップデート 部門より
転ばぬ先のアップデート 部門より
jbeef曰く、"日経IP Proの記事にまとめられているように、Java 2 Runtime Environment (JRE)の脆弱性が発表され、Sun Microsystemsから修正バージョンがリリースされた。この脆弱性は Java アプレットの実行に関するもの。JREをインストールしている者が Webブラウザで悪意あるサイトを訪れると、ローカルファイルを読み書きされたり、任意のローカルアプリケーションを実行されてしまうという。影響を受けるのは、Windows、Solaris、Linuxの各プラットフォームの以下のバージョン。
- JRE 5.0 の Update 3以前 (修正版のダウンロード)
- JRE 1.4.2 の _08 以前 (修正版のダウンロード)
- JRE 1.3.1 の _15 以前 (修正版のダウンロード)
JREを「1.4.2_06」にバージョンアップすることで回避できるとのことですが,裁判所オンライン申立てシステムでは,「JRE1.4.2_06」について,動作確認ができていません。などと告知しているが、この告知が書かれた2005年2月以降に、1.4.2系には他にも、_06の脆弱性(3月)と_07の脆弱性(6月)が発見、修正されている。つまり3月の時点で既に「1.4.2_06にすることで回避できる」という案内が事実に反しており、ユーザを長期に渡り誤解させ、危険に陥れている。"
信頼できないサイトを閲覧したり,出所不明のアプレット(プログラム)を実行したりすることのないようにご注意ください。
旧バージョンのアンインストールは必要? (スコア:5, 参考になる)
JREって普通にインストールすると旧バージョンと共存になりますよね。
[JavaHouse-Brewers:50069] JRE のセキュリティホール発覚への対応のあり方 [java-house.jp]とか複数バージョンの JRE および Java Plug-in のサポート [sun.com]とかを見ると、旧バージョンが起動してしまいそうな記述があり、Sun Alert Notification [sun.com]にも
などと書いてあるので、旧バージョンをアンインストールしないと脆弱性は解消されないのかもしれません。
国交省電子入札も (スコア:3, 参考になる)
平成15年6月27日 電子入札システムで利用するソフトウェアにおける脆弱性について [e-bisc.go.jp]
Re:国交省電子入札も (スコア:2, 参考になる)
Re:国交省電子入札も (スコア:1, 興味深い)
仕組みも複雑 [jacic.or.jp]なようで、一部認証局 [219.101.197.182]の問題にも思えます...
さて...やはり、多くの会社がとっている電子入札専用端末、LANから切り離しが正解なのですかね。
かつ、サイト制限かけて...もろもろ。
それにしても、電子入札で人の行き来が少なくなって経済波及効果が薄くなっているとか、
営業活動の機会を奪われた、情報提供の場がない、それによる官民技術レベルの格差拡大など
マクロ分析でどうなっているんでしょうかね。どなたか知りませんか?
ITmediaにも (スコア:3, 参考になる)
ITProの記事の方が詳しくかかれてますが、一応。。。
#ITmediaの記事を読んで、JRE 5.0 Update4から急いでUpdate5にアップデートしたのに、
#影響を受けるのはUpdate3以下という罠・・・。
##おまけに、アップデート機能でチェックしたら、最新版とかダイアログが出てくる罠。
最新版はもう直ってる? (スコア:1, 興味深い)
java version "1.4.2_09"
の人なんですけど。
って思ったら
Java(TM) 2 Runtime Environment, Standard Edition (build 1.4.2_09-b05)
Java HotSpot(TM) Client VM (build 1.4.2_09-b05, mixed mode)
beta05ですか・・・
一応Updateしておくか。
Re:最新版はもう直ってる? (スコア:1, 参考になる)
最初のbuildは、「以下ビルド番号」という見出しで、
ビルド番号の表示が「バージョン-bビルド番号」
なのでは?
Re:最新版はもう直ってる? (スコア:1)
とかいってみる。
逆に何故1.4を使ってるか聞いてみたいデス。
Re:最新版はもう直ってる? (スコア:1)
こういう質問をする人は, いまだに1.1.8あたりが現役で動いていることが信じられないでしょうね.
Re:最新版はもう直ってる? (スコア:2, 参考になる)
そこで、1.1.xというEOLになった製品を持ち出すのは極端でしょう。さすがに1.4.2はちゃんとサポートされているバージョンなので、使っていてとやかく言われる筋合いではありませんが。
以下にEOLになったバージョンがリストアップされています。参考まで。
http://java.sun.com/products/archive/j2se-eol.html [sun.com]
Re:最新版はもう直ってる? (スコア:2, 興味深い)
いえ, 全く極端ではありませんよ. 1.1.xだと大体4年ほど前になりますが, この程度のタイミングで企業の基幹システムをJavaで構築するという事例が出ています.
これらのシステムでは企業内で閉じたネットワークで使われているため, 最近のセキュリティ上の問題に対応する必要が低く, さらにシステム規模が大きいために1.4や1.5に移行する際に必要なテストにかかる費用がかかりすぎるという問題もかかえています. 要するにレガシーシステムなわけですが, システムとして問題なく運用できていれば触らないというのもエンタープライズの世界では一種の常識なわけで.
Re:最新版はもう直ってる? (スコア:1)
このコメントは、親コメントの
>一応Updateしておくか。
あたりから、
脆弱性の無いバージョンにしておきたい
(当人の権限・責任で)Update可能な環境にいる
と判断してのことでしょうから、
何らかの理由があって古いバージョンで動いているどこかの環境を持ち出して批判するのはそもそも的外れです。
Re:最新版はもう直ってる? (スコア:1, 興味深い)
IBMのJVMにはまだ1.5の正式リリースがないのです。
#早く虎になりたい。
最新版(JRE1.4.2_10)にも脆弱性? (スコア:1, 興味深い)
忘れ物をお届けにまいりました (スコア:0)
StarSuiteの対応は? (スコア:0)
Re:もう (スコア:2, 参考になる)
Servlet実行環境などサーバーサイドでJavaを使用している場合,(sandboxを使用することはまれなので)ほとんど問題になりません。
クライアントサイドのプログラムの実行環境として「Javaの時代は終わり」というのは,ある意味同意できない点もなくはないのですが,サーバーサイドのJavaはぜんぜん終わってません。
Re:もう (スコア:2)
タレコミ文に「この脆弱性は Java アプレットの実行に関するもの」とありますが、ここはタレコミ時にはなかった文です。編集の方がわかりやすくするために書き加えてくださったのでしょうが、アプレットに限らないので、正しくはありません。
Re:もう (スコア:0)
同意してないね。
Re:もう (スコア:0)
Re:もう (スコア:2, 興味深い)
もちろん当のPHPもPerlやVB同様、そこかしこでお子ちゃま向糞言語糞仕様の称号を頂いてるわけだけど、いずれの言語も終わらないですよね。
ボロがあってツッコミどころが残されてる(どころかむしろ満載ぐらいの)ほうが弄り甲斐や腕の見せ所があっていいのかもしれないなと最近思うようになってきました。
他の言語で代替できない、または凄く大掛かりになってしまうことをそれひとつで完結できる、といった大きな長所があることは大前提。
それに加えて多数の利用者に使われて叩かれて弱点と対応策、欠点と代替案が出揃ってやっと一人前のなのかなあと。
俗に言う「枯れる」とはまた違う意味で。
なぜだ? (スコア:1)
第一PHPとJavaでは本来的な目的は違います。
PHPがWebを対象としているのに対してJavaは本来組み込みなどを対象としています。
#それにしてもメインとして使っている言語だけに心配だわ。
#コソコソとやろうかと思t(ry
Re:なぜだ? (スコア:2, 参考になる)
まぁ,ARM プロセッサでは,jazzele [arm.com] 拡張あたりでネイティブに Java バイトコードを実行することができるようですが.
が,これをもって,「組み込みを対象」というのは飛躍のしすぎかと.
Re:なぜだ? (スコア:1)
>拡大解釈すれば正しいのか。
まさかOak [google.co.jp]をご存じないってことはありませんよね?
ま、これはあまりに「本来」すぎる話で、
現在の姿とはかけ離れているのは確かでしょうけれども。
名物に旨いものなし!
Re:なぜだ? (スコア:0)
Re:なぜだ? (スコア:0)
Re:もう (スコア:1, 興味深い)
電子申請ぐらいにしか使われない (スコア:0)
実際、一般ユーザにとっては『ブラウザを一時フリーズさせる不快なテクノロジ』以外の何者でも無いし。過去も現状も。
電子申請でもしない限り、一般ユーザはJavaをアンインストールしたほうが快適にブラウジングできるのでは。
Re:電子申請ぐらいにしか使われない (スコア:3, おもしろおかしい)
Re:電子申請ぐらいにしか使われない (スコア:3, 興味深い)
なにげにこの需要が侮れないというか、最近はレイヤ機能までついて一昔前のペイントソフトより高機能ですごい。
Re:電子申請ぐらいにしか使われない (スコア:1)
最近のblogの高機能化にも一役買ってます。代表的(?)なgoo blogでは、お絵描きやフォトレタッチができる [goo.ne.jp]ようになってます。
Re:電子申請ぐらいにしか使われない (スコア:2, 興味深い)
「アプレットが終わった」ということには同意しますが 署名付きアプリケーションをJNLPで配布するしくみ [sun.com]は, わりと面白いですよ.
また,SwingのAPIは登場した直後からずっとすばらしいものですし, Swingの実装もここ数年で飛躍的に改善されてきているので, 「登場した直後からずっと終わっている」という意見には同意しかねます.
Re:電子申請ぐらいにしか使われない (スコア:0)
Re:電子申請ぐらいにしか使われない (スコア:3, 参考になる)
コードサイニング証明書は,いちばん安いところだと,13800円/年 [trustlogo.co.jp]で買えました……とまぁ,それはともかく.
サーバ側のJNLPファイルで, <j2se version="1.4.2_10" href="http://java.sun.com/products/autodl/j2se"/> [sun.com] のようなことを書いておくと,クライアント側でこのJNLPファイルを解釈したときに,指定のバージョンのJREがインストールされていない場合には,そのJREを内部ダウンロード・インストールしてくれます.
つまり,サーバ側のメンテナが,JNLPファイルをきちんと更新していれば,クライアント側では安全なバージョンのJREを使わせることができるのです.
Re:電子申請ぐらいにしか使われない (スコア:3, すばらしい洞察)
Re:電子申請ぐらいにしか使われない (スコア:3, 興味深い)
そのとおり.できますね(「すばらしい洞察」を差し上げたい).
「可能な場合には互換性のある最新バージョンのJREで起動する」という意味の指定を,JNLPファイルで書けるようにしたり,クライアントのjavaws側で設定できるようにすべきでしょうね.
Re:電子申請ぐらいにしか使われない (スコア:2, 参考になる)
テストページ [muimi.com]で試していたら、Java UpdateにJRE 5.0 Update 6 [sun.com]が出ました。これを入れると、古いJREのダウンロードや起動の前に警告を出すようになりました。(Update 5では出なかった)
なお、Update 5でも証明書の期限切れの警告や、インストール前のライセンス表示などがあるので、インストールさせた上で攻撃するのは難しそうです。今回のアップデートは、既に入っている脆弱なバージョンを起動させられるのを防ぐのに役立つと思います。
Re:電子申請ぐらいにしか使われない (スコア:1)
実際Web系でのJavaのシェアから見るにC系が同じだけの便利さと機能を
大々的に打ち出さない限り、Javaは弱らないんじゃないかなぁ、と小生は思います。
#TomcatやらWebOTXやら・・・よくわからん・・・