Skip to content

Security Advisory 重大(Critical):java-1.5.0-ibmのセキュリティアップデート

アップデートID:

RHSA-2007:0829-2

タイプ:Security Advisory
重大性:重大/Critical
発行日:2007年8月7日
最終更新日:2007年8月7日
影響のある製品: RHEL Desktop Supplementary (v. 5 client)
RHEL Supplementary (v. 5 server)
Red Hat Enterprise Linux Extras (v. 4)
OVAL: https://rhn.redhat.com/errata/RHSA-2007-0829.html
CVEs (cve.mitre.org): CVE-2007-2435
CVE-2007-2788
CVE-2007-2789
CVE-2007-3004
CVE-2007-3005
CVE-2007-3503
CVE-2007-3655
CVE-2007-3922


詳細

複数のセキュリティ問題を修正したjava-1.5.0-ibmのアップデートパッケージがRed Hat Enterprise Linux 4 Extrasおよび5 Supplementaryで利用可能になりました。

このアップデートは、Red Hat セキュリティ対策チームによって、深刻度「重大(Critical)」のセキュリティ問題と評価されています。

IBMの1.5.0 Javaリリースは、IBM Java 2 Runtime EnvironmentとIBM Java 2 Software Development Kitを含んでいます。

Java Web Startコンポーネントでセキュリティ脆弱性が発見されました。信頼性のないアプリケーションがその権限を引き上げることにより、Java Web Startアプリケーションを実行しているユーザがアクセスできるローカルファイルに対して、読み取りや書き込みを行うことが可能です。(CVE-2007-2435)

Java Runtime Environmentの画像処理コードでバッファオーバーフローが見つかりました。信頼性のないアプレットやアプリケーションによりこの欠陥が利用され、権限が引き上げられたり、Java仮想マシンを実行しているユーザとして任意のコードが実行されたりする可能性があります。(CVE-2007-2788、CVE-2007-2789、CVE-2007-3004)

Java Runtime Environmentで未特定の脆弱性が発見されました。信頼性のないアプレットやアプリケーションによって、Java仮想マシンが無応答になる可能性があります。(CVE-2007-3005)

Javadocツールで、クロスサイトスクリプティング(XSS)の脆弱性を含んだHTMLドキュメンテーションページを生成できました。リモート攻撃者がこれを利用して、任意のWebスクリプトやHTMLを挿入する可能性があります。(CVE-2007-3503)

Java Web StartのURL解析コンポーネントは、JNLPファイルの解析コード内にバッファオーバーフローの脆弱性が含まれています。リモート攻撃者が悪意のあるJNLPファイルを作成してこの欠陥を悪用し、ファイルが開かれたときに任意のコードを実行することが可能です。(CVE-2007-3655)

アプレットクラスローダで欠陥が見つかりました。信頼性のないアプレットによってこの欠陥が利用され、ネットワークアクセスの制限が回避される可能性があります。この場合、そのアプレットを実行したマシン上でホスティングされているサービスに接続することが可能です。(CVE-2007-3922)

java-ibm-1.5.0のすべてのユーザは、これらの問題を解決するIBMの1.5.0 SR5a Javaリリースを含む上記アップデートパッケージにアップグレードしてください。


解決法


このアップデートを適用する前に、ご使用のシステムに関係するリリース済みのエラータ/Errataがすべて適用されていることを確認してください。

このアップデートは、Red Hat Networkを通じて入手できます。


アップデートパッケージ

RHEL Desktop Supplementary (v. 5 client)
IA-32:
java-1.5.0-ibm-1.5.0.5-1jpp.0.1.el5.i386.rpm     cdd0cbabd95ecc48e24240ddb991d286
java-1.5.0-ibm-demo-1.5.0.5-1jpp.0.1.el5.i386.rpm     5752527094c77e5d5e9bdedc6827ff8c
java-1.5.0-ibm-devel-1.5.0.5-1jpp.0.1.el5.i386.rpm     9106590bd9595ef15f7f0a64ceaf8e7d
java-1.5.0-ibm-javacomm-1.5.0.5-1jpp.0.1.el5.i386.rpm     cd23a583b39f53bd2a3450ae3adae1c1
java-1.5.0-ibm-jdbc-1.5.0.5-1jpp.0.1.el5.i386.rpm     8f85f3c0f2752a686f297ca4f7da61d8
java-1.5.0-ibm-plugin-1.5.0.5-1jpp.0.1.el5.i386.rpm     0f4d9d82d394b0dc00655879c51f8732
java-1.5.0-ibm-src-1.5.0.5-1jpp.0.1.el5.i386.rpm     bac96ce8cbf810f93e2af0bcc2cc4bad
 
x86_64:
java-1.5.0-ibm-1.5.0.5-1jpp.0.1.el5.i386.rpm     cdd0cbabd95ecc48e24240ddb991d286
java-1.5.0-ibm-1.5.0.5-1jpp.0.1.el5.x86_64.rpm     0a4968e760ba7272597a0bf0c42b095f
java-1.5.0-ibm-demo-1.5.0.5-1jpp.0.1.el5.i386.rpm     5752527094c77e5d5e9bdedc6827ff8c
java-1.5.0-ibm-demo-1.5.0.5-1jpp.0.1.el5.x86_64.rpm     698b1eb5c9cc70be15f4ee9ccd072b21
java-1.5.0-ibm-devel-1.5.0.5-1jpp.0.1.el5.i386.rpm     9106590bd9595ef15f7f0a64ceaf8e7d
java-1.5.0-ibm-devel-1.5.0.5-1jpp.0.1.el5.x86_64.rpm     3a1b3589e3bf480bb3930df6202d771a
java-1.5.0-ibm-javacomm-1.5.0.5-1jpp.0.1.el5.i386.rpm     cd23a583b39f53bd2a3450ae3adae1c1
java-1.5.0-ibm-javacomm-1.5.0.5-1jpp.0.1.el5.x86_64.rpm     cf3eff9be6cade6bf7a388f060540e83
java-1.5.0-ibm-jdbc-1.5.0.5-1jpp.0.1.el5.i386.rpm     8f85f3c0f2752a686f297ca4f7da61d8
java-1.5.0-ibm-plugin-1.5.0.5-1jpp.0.1.el5.i386.rpm     0f4d9d82d394b0dc00655879c51f8732
java-1.5.0-ibm-src-1.5.0.5-1jpp.0.1.el5.i386.rpm     bac96ce8cbf810f93e2af0bcc2cc4bad
java-1.5.0-ibm-src-1.5.0.5-1jpp.0.1.el5.x86_64.rpm     c3d7f811eb870d2ebe2b46148956a944
 
RHEL Supplementary (v. 5 server)
IA-32:
java-1.5.0-ibm-1.5.0.5-1jpp.0.1.el5.i386.rpm     cdd0cbabd95ecc48e24240ddb991d286
java-1.5.0-ibm-demo-1.5.0.5-1jpp.0.1.el5.i386.rpm     5752527094c77e5d5e9bdedc6827ff8c
java-1.5.0-ibm-devel-1.5.0.5-1jpp.0.1.el5.i386.rpm     9106590bd9595ef15f7f0a64ceaf8e7d
java-1.5.0-ibm-javacomm-1.5.0.5-1jpp.0.1.el5.i386.rpm     cd23a583b39f53bd2a3450ae3adae1c1
java-1.5.0-ibm-jdbc-1.5.0.5-1jpp.0.1.el5.i386.rpm     8f85f3c0f2752a686f297ca4f7da61d8
java-1.5.0-ibm-plugin-1.5.0.5-1jpp.0.1.el5.i386.rpm     0f4d9d82d394b0dc00655879c51f8732
java-1.5.0-ibm-src-1.5.0.5-1jpp.0.1.el5.i386.rpm     bac96ce8cbf810f93e2af0bcc2cc4bad
 
PPC:
java-1.5.0-ibm-1.5.0.5-1jpp.0.1.el5.ppc.rpm     c6cc6cf4f57c44d121ad93272de6dc5a
java-1.5.0-ibm-demo-1.5.0.5-1jpp.0.1.el5.ppc.rpm     30e5e1278aca42c926bc3e50bfb21368
java-1.5.0-ibm-devel-1.5.0.5-1jpp.0.1.el5.ppc.rpm     b37db5b339256fcc55a1205beb2b5db7
java-1.5.0-ibm-javacomm-1.5.0.5-1jpp.0.1.el5.ppc.rpm     ce4abb9ab6a81d4d42a5a5b7e36c3165
java-1.5.0-ibm-jdbc-1.5.0.5-1jpp.0.1.el5.ppc.rpm     420bad7eaeaa10e7889732694995e221
java-1.5.0-ibm-plugin-1.5.0.5-1jpp.0.1.el5.ppc.rpm     51386ab2985df10400a16802216aa059
java-1.5.0-ibm-src-1.5.0.5-1jpp.0.1.el5.ppc.rpm     2aff0d96d2f6133efba5139ac0ecbc4c
 
s390x:
java-1.5.0-ibm-1.5.0.5-1jpp.0.1.el5.s390.rpm     4013abecb9cd69ce9c93cab4dafb60f5
java-1.5.0-ibm-1.5.0.5-1jpp.0.1.el5.s390x.rpm     2508d126568c77b569ce85685ddb28de
java-1.5.0-ibm-demo-1.5.0.5-1jpp.0.1.el5.s390.rpm     974fa192b305764ddd4ea0bd0c343a35
java-1.5.0-ibm-demo-1.5.0.5-1jpp.0.1.el5.s390x.rpm     606b47fa3eb5a0ad82ab4d95997b0884
java-1.5.0-ibm-devel-1.5.0.5-1jpp.0.1.el5.s390.rpm     2b6dab693b4b38348de47abbd971e595
java-1.5.0-ibm-devel-1.5.0.5-1jpp.0.1.el5.s390x.rpm     8922fc932b1a8bd2c0cbc5886bec1427
java-1.5.0-ibm-jdbc-1.5.0.5-1jpp.0.1.el5.s390.rpm     ab68a26dd60e2e6756319230f59e8b66
java-1.5.0-ibm-src-1.5.0.5-1jpp.0.1.el5.s390.rpm     0741e98e9500e66113503bc5229bb139
java-1.5.0-ibm-src-1.5.0.5-1jpp.0.1.el5.s390x.rpm     a069f10f50098a6de2251ac99006f030
 
x86_64:
java-1.5.0-ibm-1.5.0.5-1jpp.0.1.el5.i386.rpm     cdd0cbabd95ecc48e24240ddb991d286
java-1.5.0-ibm-1.5.0.5-1jpp.0.1.el5.x86_64.rpm     0a4968e760ba7272597a0bf0c42b095f
java-1.5.0-ibm-demo-1.5.0.5-1jpp.0.1.el5.i386.rpm     5752527094c77e5d5e9bdedc6827ff8c
java-1.5.0-ibm-demo-1.5.0.5-1jpp.0.1.el5.x86_64.rpm     698b1eb5c9cc70be15f4ee9ccd072b21
java-1.5.0-ibm-devel-1.5.0.5-1jpp.0.1.el5.i386.rpm     9106590bd9595ef15f7f0a64ceaf8e7d
java-1.5.0-ibm-devel-1.5.0.5-1jpp.0.1.el5.x86_64.rpm     3a1b3589e3bf480bb3930df6202d771a
java-1.5.0-ibm-javacomm-1.5.0.5-1jpp.0.1.el5.i386.rpm     cd23a583b39f53bd2a3450ae3adae1c1
java-1.5.0-ibm-javacomm-1.5.0.5-1jpp.0.1.el5.x86_64.rpm     cf3eff9be6cade6bf7a388f060540e83
java-1.5.0-ibm-jdbc-1.5.0.5-1jpp.0.1.el5.i386.rpm     8f85f3c0f2752a686f297ca4f7da61d8
java-1.5.0-ibm-plugin-1.5.0.5-1jpp.0.1.el5.i386.rpm     0f4d9d82d394b0dc00655879c51f8732
java-1.5.0-ibm-src-1.5.0.5-1jpp.0.1.el5.i386.rpm     bac96ce8cbf810f93e2af0bcc2cc4bad
java-1.5.0-ibm-src-1.5.0.5-1jpp.0.1.el5.x86_64.rpm     c3d7f811eb870d2ebe2b46148956a944
 
Red Hat Enterprise Linux Extras (v. 4)
IA-32:
java-1.5.0-ibm-1.5.0.5-1jpp.2.el4.i386.rpm     f03a0b949023f7af674cb6123d8c0b91
java-1.5.0-ibm-1.5.0.5-1jpp.2.el4.i386.rpm     f03a0b949023f7af674cb6123d8c0b91
java-1.5.0-ibm-1.5.0.5-1jpp.2.el4.i386.rpm     f03a0b949023f7af674cb6123d8c0b91
java-1.5.0-ibm-1.5.0.5-1jpp.2.el4.i386.rpm     f03a0b949023f7af674cb6123d8c0b91
java-1.5.0-ibm-demo-1.5.0.5-1jpp.2.el4.i386.rpm     514ba2cdf984fe905023ef3137f8c694
java-1.5.0-ibm-demo-1.5.0.5-1jpp.2.el4.i386.rpm     514ba2cdf984fe905023ef3137f8c694
java-1.5.0-ibm-demo-1.5.0.5-1jpp.2.el4.i386.rpm     514ba2cdf984fe905023ef3137f8c694
java-1.5.0-ibm-demo-1.5.0.5-1jpp.2.el4.i386.rpm     514ba2cdf984fe905023ef3137f8c694
java-1.5.0-ibm-devel-1.5.0.5-1jpp.2.el4.i386.rpm     abf1d7c47b0269002233598509526f4f
java-1.5.0-ibm-devel-1.5.0.5-1jpp.2.el4.i386.rpm     abf1d7c47b0269002233598509526f4f
java-1.5.0-ibm-devel-1.5.0.5-1jpp.2.el4.i386.rpm     abf1d7c47b0269002233598509526f4f
java-1.5.0-ibm-devel-1.5.0.5-1jpp.2.el4.i386.rpm     abf1d7c47b0269002233598509526f4f
java-1.5.0-ibm-javacomm-1.5.0.5-1jpp.2.el4.i386.rpm     cc42fb902725004893ef74afb34ad2ed
java-1.5.0-ibm-javacomm-1.5.0.5-1jpp.2.el4.i386.rpm     cc42fb902725004893ef74afb34ad2ed
java-1.5.0-ibm-javacomm-1.5.0.5-1jpp.2.el4.i386.rpm     cc42fb902725004893ef74afb34ad2ed
java-1.5.0-ibm-javacomm-1.5.0.5-1jpp.2.el4.i386.rpm     cc42fb902725004893ef74afb34ad2ed
java-1.5.0-ibm-jdbc-1.5.0.5-1jpp.2.el4.i386.rpm     48e501d6ee684fda5dc086edbf7f39d0
java-1.5.0-ibm-jdbc-1.5.0.5-1jpp.2.el4.i386.rpm     48e501d6ee684fda5dc086edbf7f39d0
java-1.5.0-ibm-jdbc-1.5.0.5-1jpp.2.el4.i386.rpm     48e501d6ee684fda5dc086edbf7f39d0
java-1.5.0-ibm-jdbc-1.5.0.5-1jpp.2.el4.i386.rpm     48e501d6ee684fda5dc086edbf7f39d0
java-1.5.0-ibm-plugin-1.5.0.5-1jpp.2.el4.i386.rpm     7422f1586b4aa396ae356d975c7b4d07
java-1.5.0-ibm-plugin-1.5.0.5-1jpp.2.el4.i386.rpm     7422f1586b4aa396ae356d975c7b4d07
java-1.5.0-ibm-plugin-1.5.0.5-1jpp.2.el4.i386.rpm     7422f1586b4aa396ae356d975c7b4d07
java-1.5.0-ibm-plugin-1.5.0.5-1jpp.2.el4.i386.rpm     7422f1586b4aa396ae356d975c7b4d07
java-1.5.0-ibm-src-1.5.0.5-1jpp.2.el4.i386.rpm     f103cbcb03961bd51227162d9b43add0
java-1.5.0-ibm-src-1.5.0.5-1jpp.2.el4.i386.rpm     f103cbcb03961bd51227162d9b43add0
java-1.5.0-ibm-src-1.5.0.5-1jpp.2.el4.i386.rpm     f103cbcb03961bd51227162d9b43add0
java-1.5.0-ibm-src-1.5.0.5-1jpp.2.el4.i386.rpm     f103cbcb03961bd51227162d9b43add0
 
PPC:
java-1.5.0-ibm-1.5.0.5-1jpp.2.el4.ppc.rpm     80d25e87c9d725749ecc7c6468567f26
java-1.5.0-ibm-demo-1.5.0.5-1jpp.2.el4.ppc.rpm     eaa0a132e164dc2917eee3fb1de4fde7
java-1.5.0-ibm-devel-1.5.0.5-1jpp.2.el4.ppc.rpm     46df229ed548b1ea96e47ea74096dff0
java-1.5.0-ibm-javacomm-1.5.0.5-1jpp.2.el4.ppc.rpm     b927c7b01a7f274fba7d8ad1947d1734
java-1.5.0-ibm-jdbc-1.5.0.5-1jpp.2.el4.ppc.rpm     84524729176d121a79d61c900df08c6f
java-1.5.0-ibm-plugin-1.5.0.5-1jpp.2.el4.ppc.rpm     f89c2e4ca7de93506091a4bfe33d925e
java-1.5.0-ibm-src-1.5.0.5-1jpp.2.el4.ppc.rpm     052566c7a7b1e5d30a143ba5330d99e2
 
s390:
java-1.5.0-ibm-1.5.0.5-1jpp.2.el4.s390.rpm     e3a7c49d0eef762fe0b51629b58cff5d
java-1.5.0-ibm-demo-1.5.0.5-1jpp.2.el4.s390.rpm     0ee5a83ddc19a4b2875050754fed2e7c
java-1.5.0-ibm-devel-1.5.0.5-1jpp.2.el4.s390.rpm     90d581f8efd18918b85604424b4e808d
java-1.5.0-ibm-jdbc-1.5.0.5-1jpp.2.el4.s390.rpm     26d463ee95fc4348bf2fc84542249981
java-1.5.0-ibm-src-1.5.0.5-1jpp.2.el4.s390.rpm     a1f3607d5410dcd740aa7c52e96864f3
 
s390x:
java-1.5.0-ibm-1.5.0.5-1jpp.2.el4.s390x.rpm     3825bc7bbadd3e373a7b9976e7f459f2
java-1.5.0-ibm-demo-1.5.0.5-1jpp.2.el4.s390x.rpm     36531b05b1bf8535e9670fd2bb21c9e5
java-1.5.0-ibm-devel-1.5.0.5-1jpp.2.el4.s390x.rpm     0838e5b3621892896eddeb409cdf4164
java-1.5.0-ibm-src-1.5.0.5-1jpp.2.el4.s390x.rpm     8e72d1ce7aecb19e65ed4cd1fd3eb6e7
 
x86_64:
java-1.5.0-ibm-1.5.0.5-1jpp.2.el4.x86_64.rpm     ad554406f3343e89a702612300fe3b91
java-1.5.0-ibm-1.5.0.5-1jpp.2.el4.x86_64.rpm     ad554406f3343e89a702612300fe3b91
java-1.5.0-ibm-1.5.0.5-1jpp.2.el4.x86_64.rpm     ad554406f3343e89a702612300fe3b91
java-1.5.0-ibm-1.5.0.5-1jpp.2.el4.x86_64.rpm     ad554406f3343e89a702612300fe3b91
java-1.5.0-ibm-demo-1.5.0.5-1jpp.2.el4.x86_64.rpm     ea0d3cce9cb1b4e58e61f8838bef44af
java-1.5.0-ibm-demo-1.5.0.5-1jpp.2.el4.x86_64.rpm     ea0d3cce9cb1b4e58e61f8838bef44af
java-1.5.0-ibm-demo-1.5.0.5-1jpp.2.el4.x86_64.rpm     ea0d3cce9cb1b4e58e61f8838bef44af
java-1.5.0-ibm-demo-1.5.0.5-1jpp.2.el4.x86_64.rpm     ea0d3cce9cb1b4e58e61f8838bef44af
java-1.5.0-ibm-devel-1.5.0.5-1jpp.2.el4.x86_64.rpm     571af0ab215861528cd04c43f2277a80
java-1.5.0-ibm-devel-1.5.0.5-1jpp.2.el4.x86_64.rpm     571af0ab215861528cd04c43f2277a80
java-1.5.0-ibm-devel-1.5.0.5-1jpp.2.el4.x86_64.rpm     571af0ab215861528cd04c43f2277a80
java-1.5.0-ibm-devel-1.5.0.5-1jpp.2.el4.x86_64.rpm     571af0ab215861528cd04c43f2277a80
java-1.5.0-ibm-javacomm-1.5.0.5-1jpp.2.el4.x86_64.rpm     c27c5adbbbcf66b718868bae7dfa71c2
java-1.5.0-ibm-javacomm-1.5.0.5-1jpp.2.el4.x86_64.rpm     c27c5adbbbcf66b718868bae7dfa71c2
java-1.5.0-ibm-javacomm-1.5.0.5-1jpp.2.el4.x86_64.rpm     c27c5adbbbcf66b718868bae7dfa71c2
java-1.5.0-ibm-javacomm-1.5.0.5-1jpp.2.el4.x86_64.rpm     c27c5adbbbcf66b718868bae7dfa71c2
java-1.5.0-ibm-src-1.5.0.5-1jpp.2.el4.x86_64.rpm     f41a2d5ce9916b8d9c34eb13b6ed799e
java-1.5.0-ibm-src-1.5.0.5-1jpp.2.el4.x86_64.rpm     f41a2d5ce9916b8d9c34eb13b6ed799e
java-1.5.0-ibm-src-1.5.0.5-1jpp.2.el4.x86_64.rpm     f41a2d5ce9916b8d9c34eb13b6ed799e
java-1.5.0-ibm-src-1.5.0.5-1jpp.2.el4.x86_64.rpm     f41a2d5ce9916b8d9c34eb13b6ed799e
 
(The unlinked packages above are only available from the Red Hat Network)


バグフィックス (詳細は、bugzilla/バグジラ[英語]を御覧ください。)

239660 - CVE-2007-2435 javaws vulnerabilities
242595 - CVE-2007-3004 Integer overflow in IBM JDK's ICC profile parser
246765 - CVE-2007-3503 HTML files generated with Javadoc are vulnerable to a XSS
248864 - CVE-2007-3655 A buffer overflow vulnerability in Java Web Start URL parsing code
249533 - CVE-2007-3922 Vulnerability in the Java Runtime Environment May Allow an Untrusted Applet to Circumvent Network Access Restrictions
250725 - CVE-2007-2788 Integer overflow in the embedded ICC profile image parser in Sun Java Development Kit
250729 - CVE-2007-2789 BMP image parser vulnerability
250733 - CVE-2007-3005 Unspecified vulnerability in Sun JRE


参照


http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2435
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2788
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2789
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3004
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3005
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3503
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3655
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3922
http://www.redhat.com/security/updates/classification/#critical


ここに在るパッケージはセキュリティの為、Red Hat, Inc. によって、GPG認証されています。
認証キー及び詳細は以下を御覧下さい。
https://www.redhat.com/security/team/key/#package

The Red Hat security contact is secalert@redhat.com. More contact details at http://www.redhat.com/security/team/contact/