パスワードを忘れた? アカウント作成
11321 story

SunのJava実行環境に致命的レベルの脆弱性 42

ストーリー by yoosee
転ばぬ先のアップデート 部門より

jbeef曰く、"日経IP Proの記事にまとめられているように、Java 2 Runtime Environment (JRE)の脆弱性が発表され、Sun Microsystemsから修正バージョンがリリースされた。この脆弱性は Java アプレットの実行に関するもの。JREをインストールしている者が Webブラウザで悪意あるサイトを訪れると、ローカルファイルを読み書きされたり、任意のローカルアプリケーションを実行されてしまうという。影響を受けるのは、Windows、Solaris、Linuxの各プラットフォームの以下のバージョン。

日本の政府と自治体の電子申請システムの大半はユーザにJREのインストールを要求しているので、関係者は注意が必要だ。 たとえば 最高裁判所オンライン申立てシステムは未だに
JREを「1.4.2_06」にバージョンアップすることで回避できるとのことですが,裁判所オンライン申立てシステムでは,「JRE1.4.2_06」について,動作確認ができていません。
信頼できないサイトを閲覧したり,出所不明のアプレット(プログラム)を実行したりすることのないようにご注意ください。
などと告知しているが、この告知が書かれた2005年2月以降に、1.4.2系には他にも、_06の脆弱性(3月)と_07の脆弱性(6月)が発見、修正されている。つまり3月の時点で既に「1.4.2_06にすることで回避できる」という案内が事実に反しており、ユーザを長期に渡り誤解させ、危険に陥れている。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • JREって普通にインストールすると旧バージョンと共存になりますよね。

    [JavaHouse-Brewers:50069] JRE のセキュリティホール発覚への対応のあり方 [java-house.jp]とか複数バージョンの JRE および Java Plug-in のサポート [sun.com]とかを見ると、旧バージョンが起動してしまいそうな記述があり、Sun Alert Notification [sun.com]にも

    Note: It is recommended that affected versions be removed from your system.

    などと書いてあるので、旧バージョンをアンインストールしないと脆弱性は解消されないのかもしれません。

  • by Anonymous Coward on 2005年11月30日 14時08分 (#840227)
    国交省電子入札も似たような状況で、JRE1.3.1_06のまま対応を放置しています。

    平成15年6月27日 電子入札システムで利用するソフトウェアにおける脆弱性について [e-bisc.go.jp]
    • by Anonymous Coward on 2005年11月30日 14時33分 (#840247)
      URLミスでした。 [e-bisc.go.jp]
      親コメント
    • by Anonymous Coward on 2005年11月30日 21時44分 (#840508)
      探せば、いろいろ出て [google.co.jp]きます。
      仕組みも複雑 [jacic.or.jp]なようで、一部認証局 [219.101.197.182]の問題にも思えます...
      さて...やはり、多くの会社がとっている電子入札専用端末、LANから切り離しが正解なのですかね。
      かつ、サイト制限かけて...もろもろ。
      それにしても、電子入札で人の行き来が少なくなって経済波及効果が薄くなっているとか、
      営業活動の機会を奪われた、情報提供の場がない、それによる官民技術レベルの格差拡大など
      マクロ分析でどうなっているんでしょうかね。どなたか知りませんか?
      親コメント
  • ITmediaにも (スコア:3, 参考になる)

    by Concerto (28311) on 2005年11月30日 14時29分 (#840244) ホームページ
    記事が載っています [itmedia.co.jp]。
    ITProの記事の方が詳しくかかれてますが、一応。。。

    #ITmediaの記事を読んで、JRE 5.0 Update4から急いでUpdate5にアップデートしたのに、
    #影響を受けるのはUpdate3以下という罠・・・。
    ##おまけに、アップデート機能でチェックしたら、最新版とかダイアログが出てくる罠。
  • by harisen (27285) on 2005年11月30日 14時07分 (#840224) 日記
    ってことでいいんですよね?

    java version "1.4.2_09"
    の人なんですけど。

    って思ったら
    Java(TM) 2 Runtime Environment, Standard Edition (build 1.4.2_09-b05)
    Java HotSpot(TM) Client VM (build 1.4.2_09-b05, mixed mode)

    beta05ですか・・・
    一応Updateしておくか。
    • by Anonymous Coward on 2005年11月30日 14時28分 (#840241)
      build 1.4.2_09-b05

      最初のbuildは、「以下ビルド番号」という見出しで、
      ビルド番号の表示が「バージョン-bビルド番号」
      なのでは?

      親コメント
    • いっそのこと1.5にしちゃえば
      とかいってみる。

      逆に何故1.4を使ってるか聞いてみたいデス。
      親コメント
      • こういう質問をする人は, いまだに1.1.8あたりが現役で動いていることが信じられないでしょうね.

        親コメント
        • by Anonymous Coward on 2005年11月30日 23時19分 (#840556)

          そこで、1.1.xというEOLになった製品を持ち出すのは極端でしょう。さすがに1.4.2はちゃんとサポートされているバージョンなので、使っていてとやかく言われる筋合いではありませんが。

          以下にEOLになったバージョンがリストアップされています。参考まで。

          http://java.sun.com/products/archive/j2se-eol.html [sun.com]

          親コメント
          • by SteppingWind (2654) on 2005年12月01日 11時54分 (#840766)

            いえ, 全く極端ではありませんよ. 1.1.xだと大体4年ほど前になりますが, この程度のタイミングで企業の基幹システムをJavaで構築するという事例が出ています.

            これらのシステムでは企業内で閉じたネットワークで使われているため, 最近のセキュリティ上の問題に対応する必要が低く, さらにシステム規模が大きいために1.4や1.5に移行する際に必要なテストにかかる費用がかかりすぎるという問題もかかえています. 要するにレガシーシステムなわけですが, システムとして問題なく運用できていれば触らないというのもエンタープライズの世界では一種の常識なわけで.

            親コメント
        • >逆に何故1.4を使ってるか聞いてみたいデス。
          このコメントは、親コメントの
          >一応Updateしておくか。
          あたりから、
           脆弱性の無いバージョンにしておきたい
           (当人の権限・責任で)Update可能な環境にいる
          と判断してのことでしょうから、
          何らかの理由があって古いバージョンで動いているどこかの環境を持ち出して批判するのはそもそも的外れです。
          親コメント
      • by Anonymous Coward on 2005年12月01日 23時44分 (#841048)
        なぜ1.4を使っているか?

        IBMのJVMにはまだ1.5の正式リリースがないのです。

        #早く虎になりたい。
        親コメント
    • by Anonymous Coward on 2005年12月01日 23時02分 (#841028)
      JRE1.4.2_09にも脆弱性が見つかっています。 http://secunia.com/advisories/17478/ なお、上記脆弱性の発見者の報告によると 報告時点(2005/11/04)でこの脆弱性は解決されておらず、SunはJRE1.4.2_11(未リリース)で、この問題を解決予定、と言っているようです。 国の電子申請という公共性の高いシステムに、一企業がフリーで提供しているアプリを採用するからこんなことに...orz
      親コメント
  • by Anonymous Coward on 2005年12月01日 23時35分 (#841040)
    セキュリティホールが浜の真砂の如く尽きない感もあるJavaですが…
  • by Anonymous Coward on 2005年12月05日 7時02分 (#842521)
    もれなくJava実行環境が入る筈だけど…。
typodupeerror

アレゲはアレゲを呼ぶ -- ある傍観者

読み込み中...