中（Moderate）：java-1.5.0-beaのセキュリティアップデート

アップデートID:	RHSA-2007:0956-3
タイプ:	Security Advisory
重大性:	中/Moderate
発行日:	2007年10月16日
最終更新日:	2007年10月16日
影響のある製品:	RHEL Supplementary (v. 5 server) Red Hat Enterprise Linux Extras (v. 4)
OVAL:	https://rhn.redhat.com/errata/RHSA-2007-0956.html
CVEs (cve.mitre.org):	CVE-2007-0243 CVE-2007-2788 CVE-2007-2789 CVE-2007-3004 CVE-2007-3005 CVE-2007-3503 CVE-2007-3698 CVE-2007-4381

詳細

複数のセキュリティ問題を修正したjava-1.5.0-beaのアップデートパッケージがRed Hat Enterprise Linux 4 Extrasおよび5 Supplementaryで利用可能になりました。

このアップデートは、レッドハットセキュリティ対策チームによって、深刻度「中（Moderate）」のセキュリティ問題と評価されています。

BEA WebLogic JRockit 1.5.0_11 JREとSDKは、BEA WebLogic JRockit仮想マシン1.5.0_11を含み、Java 5 Platform Standard Edition v1.5.0用に認定されています。

BEA Java Runtime EnvironmentのGIF画像処理で欠陥が見つかりました。アプリケーションが信頼性のないGIF画像入力を処理した場合、Java仮想マシンを実行しているユーザとして任意のコードが実行される可能性があります。（CVE-2007-0243）

Java Runtime Environmentの画像処理コードでバッファオーバーフローが見つかりました。攻撃者が巧妙に作成された画像ファイルをサーバアプリケーションで処理し、Java仮想マシンを実行しているユーザとして任意のコードが実行される可能性があります。（CVE-2007-2788、CVE-2007-2789、CVE-2007-3004）

Java Applet Viewerでサービス拒否の欠陥が発見されました。信頼性のないJava アプレットによって、Java仮想マシンが無応答になる可能性があります。ただし、BEA WebLogic JRockit 1.5.0_11にはブラウザプラグインが付属していないため、この問題を悪用できるのは、「appletviewer」アプリケーションを実行しているユーザだけです。（CVE-2007-3005）

Javadocツールでクロスサイトスクリプティング（XSS）の欠陥が見つかりました。攻撃者がJavadocで作成されたHTMLドキュメンテーションページに任意のコンテンツを挿入し、ユーザを欺いたり、機密情報を盗んだりする可能性があります。（CVE-2007-3503）

JSSEコンポーネントでのSSL/TLSハンドシェイク要求の処理でサービス拒否の欠陥が見つかりました。JSSE対応のサービスに接続できるリモート攻撃者が巧妙に作成されたハンドシェイクを送信することにより、Java Runtime Environmentがその後の要求に応答しないようにすることが可能です。（CVE-2007-3698）

Java Runtime Environmentでのフォントデータの処理で欠陥が見つかりました。「appletviewer」アプリケーション経由で参照されたアプレットがその権限を引き上げることにより、「appletviewer」アプリケーションを実行しているユーザと同じ権限でアクションを実行できます。サードパーティ製の信頼性のないフォント情報を処理するサーバアプリケーションをクラッシュさせることも可能です。（CVE-2007-4381）

java-bea-1.5.0のすべてのユーザは、これらの問題を解決するBEA WebLogic JRockit 1.5.0_11リリースを含む上記アップデートパッケージにアップグレードしてください。

解決法

このアップデートを適用する前に、ご使用のシステムに関係するリリース済みのエラータ/Errataがすべて適用されていることを確認してください。

このアップデートは、Red Hat Networkを通じて入手できます。

アップデートパッケージ

RHEL Supplementary (v. 5 server)

IA-32:
java-1.5.0-bea-1.5.0.11-1jpp.1.el5.i686.rpm	`cb428bcf2243087398758e4f0fed858c`
java-1.5.0-bea-demo-1.5.0.11-1jpp.1.el5.i686.rpm	`429681d5d5b09dc5a932cf2041ab8e8f`
java-1.5.0-bea-devel-1.5.0.11-1jpp.1.el5.i686.rpm	`f24a77375c04f507d7e3bc6c113eaeaf`
java-1.5.0-bea-jdbc-1.5.0.11-1jpp.1.el5.i686.rpm	`dd40a04438478306d4c69fad1e36bb06`
java-1.5.0-bea-missioncontrol-1.5.0.11-1jpp.1.el5.i686.rpm	`899285f380244e5749f61120fc19b56a`
java-1.5.0-bea-src-1.5.0.11-1jpp.1.el5.i686.rpm	`e56b9c0f758cb9d2f0fb9b4fc0f104b3`

IA-64:
java-1.5.0-bea-1.5.0.11-1jpp.1.el5.ia64.rpm	`b82f6fa44899b04665e52544890aed79`
java-1.5.0-bea-demo-1.5.0.11-1jpp.1.el5.ia64.rpm	`ab161cb6f69b939d3f11817b5ac6b61c`
java-1.5.0-bea-devel-1.5.0.11-1jpp.1.el5.ia64.rpm	`1ce3ad97e0aa52683ec785668cc7b073`
java-1.5.0-bea-jdbc-1.5.0.11-1jpp.1.el5.ia64.rpm	`d33b7c8c01aa713ad81a524e3284c7fc`
java-1.5.0-bea-src-1.5.0.11-1jpp.1.el5.ia64.rpm	`8cf50b42d5d2c2b913ba308b708408f3`

x86_64:
java-1.5.0-bea-1.5.0.11-1jpp.1.el5.x86_64.rpm	`93af80136cd63116968da787887bb54d`
java-1.5.0-bea-demo-1.5.0.11-1jpp.1.el5.x86_64.rpm	`400f37f0f79e4eed0c9c2ee8ee01349a`
java-1.5.0-bea-devel-1.5.0.11-1jpp.1.el5.x86_64.rpm	`e77e0217be215f6c9c73ad48431bd88a`
java-1.5.0-bea-jdbc-1.5.0.11-1jpp.1.el5.x86_64.rpm	`0272469e1c6930c9437996a0e414a3e6`
java-1.5.0-bea-missioncontrol-1.5.0.11-1jpp.1.el5.x86_64.rpm	`2236ed694f93e7f02c34c8ac0e9739da`
java-1.5.0-bea-src-1.5.0.11-1jpp.1.el5.x86_64.rpm	`e2367793a0f9126bda87da661b9e271b`

Red Hat Enterprise Linux Extras (v. 4)

IA-32:
java-1.5.0-bea-1.5.0.11-1jpp.2.el4.i686.rpm	`5ee007deaed3fe92f4387a65a047640f`
java-1.5.0-bea-1.5.0.11-1jpp.2.el4.i686.rpm	`5ee007deaed3fe92f4387a65a047640f`
java-1.5.0-bea-1.5.0.11-1jpp.2.el4.i686.rpm	`5ee007deaed3fe92f4387a65a047640f`
java-1.5.0-bea-1.5.0.11-1jpp.2.el4.i686.rpm	`5ee007deaed3fe92f4387a65a047640f`
java-1.5.0-bea-demo-1.5.0.11-1jpp.2.el4.i686.rpm	`8e3c02c82190145a0905b5a2c594985e`
java-1.5.0-bea-demo-1.5.0.11-1jpp.2.el4.i686.rpm	`8e3c02c82190145a0905b5a2c594985e`
java-1.5.0-bea-demo-1.5.0.11-1jpp.2.el4.i686.rpm	`8e3c02c82190145a0905b5a2c594985e`
java-1.5.0-bea-demo-1.5.0.11-1jpp.2.el4.i686.rpm	`8e3c02c82190145a0905b5a2c594985e`
java-1.5.0-bea-devel-1.5.0.11-1jpp.2.el4.i686.rpm	`c74a973d5643f72ae852def88191b083`
java-1.5.0-bea-devel-1.5.0.11-1jpp.2.el4.i686.rpm	`c74a973d5643f72ae852def88191b083`
java-1.5.0-bea-devel-1.5.0.11-1jpp.2.el4.i686.rpm	`c74a973d5643f72ae852def88191b083`
java-1.5.0-bea-devel-1.5.0.11-1jpp.2.el4.i686.rpm	`c74a973d5643f72ae852def88191b083`
java-1.5.0-bea-jdbc-1.5.0.11-1jpp.2.el4.i686.rpm	`b61a256d5e440ef167bc94edf78acf72`
java-1.5.0-bea-jdbc-1.5.0.11-1jpp.2.el4.i686.rpm	`b61a256d5e440ef167bc94edf78acf72`
java-1.5.0-bea-jdbc-1.5.0.11-1jpp.2.el4.i686.rpm	`b61a256d5e440ef167bc94edf78acf72`
java-1.5.0-bea-jdbc-1.5.0.11-1jpp.2.el4.i686.rpm	`b61a256d5e440ef167bc94edf78acf72`
java-1.5.0-bea-src-1.5.0.11-1jpp.2.el4.i686.rpm	`126172544cb3032c4e4f5e9e40dd06d3`
java-1.5.0-bea-src-1.5.0.11-1jpp.2.el4.i686.rpm	`126172544cb3032c4e4f5e9e40dd06d3`
java-1.5.0-bea-src-1.5.0.11-1jpp.2.el4.i686.rpm	`126172544cb3032c4e4f5e9e40dd06d3`
java-1.5.0-bea-src-1.5.0.11-1jpp.2.el4.i686.rpm	`126172544cb3032c4e4f5e9e40dd06d3`

IA-64:
java-1.5.0-bea-1.5.0.11-1jpp.2.el4.ia64.rpm	`6101124db3f082c20c4afff52587e6ba`
java-1.5.0-bea-1.5.0.11-1jpp.2.el4.ia64.rpm	`6101124db3f082c20c4afff52587e6ba`
java-1.5.0-bea-1.5.0.11-1jpp.2.el4.ia64.rpm	`6101124db3f082c20c4afff52587e6ba`
java-1.5.0-bea-demo-1.5.0.11-1jpp.2.el4.ia64.rpm	`094f7d4653755791de0e92701c8e0295`
java-1.5.0-bea-demo-1.5.0.11-1jpp.2.el4.ia64.rpm	`094f7d4653755791de0e92701c8e0295`
java-1.5.0-bea-demo-1.5.0.11-1jpp.2.el4.ia64.rpm	`094f7d4653755791de0e92701c8e0295`
java-1.5.0-bea-devel-1.5.0.11-1jpp.2.el4.ia64.rpm	`39884e2178042e02b4329d55249b3265`
java-1.5.0-bea-devel-1.5.0.11-1jpp.2.el4.ia64.rpm	`39884e2178042e02b4329d55249b3265`
java-1.5.0-bea-devel-1.5.0.11-1jpp.2.el4.ia64.rpm	`39884e2178042e02b4329d55249b3265`
java-1.5.0-bea-jdbc-1.5.0.11-1jpp.2.el4.ia64.rpm	`e22bf4cd3f81d178aaf807be985adbd8`
java-1.5.0-bea-jdbc-1.5.0.11-1jpp.2.el4.ia64.rpm	`e22bf4cd3f81d178aaf807be985adbd8`
java-1.5.0-bea-jdbc-1.5.0.11-1jpp.2.el4.ia64.rpm	`e22bf4cd3f81d178aaf807be985adbd8`
java-1.5.0-bea-src-1.5.0.11-1jpp.2.el4.ia64.rpm	`39cb9b3bea5b0617c609aab0137bbd83`
java-1.5.0-bea-src-1.5.0.11-1jpp.2.el4.ia64.rpm	`39cb9b3bea5b0617c609aab0137bbd83`
java-1.5.0-bea-src-1.5.0.11-1jpp.2.el4.ia64.rpm	`39cb9b3bea5b0617c609aab0137bbd83`

x86_64:
java-1.5.0-bea-1.5.0.11-1jpp.2.el4.x86_64.rpm	`de5be6ed82c1e5a65e473e524f751655`
java-1.5.0-bea-1.5.0.11-1jpp.2.el4.x86_64.rpm	`de5be6ed82c1e5a65e473e524f751655`
java-1.5.0-bea-1.5.0.11-1jpp.2.el4.x86_64.rpm	`de5be6ed82c1e5a65e473e524f751655`
java-1.5.0-bea-1.5.0.11-1jpp.2.el4.x86_64.rpm	`de5be6ed82c1e5a65e473e524f751655`
java-1.5.0-bea-demo-1.5.0.11-1jpp.2.el4.x86_64.rpm	`bf3915c8f00d5378beec836ee9cc3437`
java-1.5.0-bea-demo-1.5.0.11-1jpp.2.el4.x86_64.rpm	`bf3915c8f00d5378beec836ee9cc3437`
java-1.5.0-bea-demo-1.5.0.11-1jpp.2.el4.x86_64.rpm	`bf3915c8f00d5378beec836ee9cc3437`
java-1.5.0-bea-demo-1.5.0.11-1jpp.2.el4.x86_64.rpm	`bf3915c8f00d5378beec836ee9cc3437`
java-1.5.0-bea-devel-1.5.0.11-1jpp.2.el4.x86_64.rpm	`f39f1082dc6c35b40f73bb8cac5f332a`
java-1.5.0-bea-devel-1.5.0.11-1jpp.2.el4.x86_64.rpm	`f39f1082dc6c35b40f73bb8cac5f332a`
java-1.5.0-bea-devel-1.5.0.11-1jpp.2.el4.x86_64.rpm	`f39f1082dc6c35b40f73bb8cac5f332a`
java-1.5.0-bea-devel-1.5.0.11-1jpp.2.el4.x86_64.rpm	`f39f1082dc6c35b40f73bb8cac5f332a`
java-1.5.0-bea-jdbc-1.5.0.11-1jpp.2.el4.x86_64.rpm	`93cbe1ac3961201ad5f87cadfbe3346b`
java-1.5.0-bea-jdbc-1.5.0.11-1jpp.2.el4.x86_64.rpm	`93cbe1ac3961201ad5f87cadfbe3346b`
java-1.5.0-bea-jdbc-1.5.0.11-1jpp.2.el4.x86_64.rpm	`93cbe1ac3961201ad5f87cadfbe3346b`
java-1.5.0-bea-jdbc-1.5.0.11-1jpp.2.el4.x86_64.rpm	`93cbe1ac3961201ad5f87cadfbe3346b`
java-1.5.0-bea-src-1.5.0.11-1jpp.2.el4.x86_64.rpm	`9790762ccfa267866a9e80e2c1d431e6`
java-1.5.0-bea-src-1.5.0.11-1jpp.2.el4.x86_64.rpm	`9790762ccfa267866a9e80e2c1d431e6`
java-1.5.0-bea-src-1.5.0.11-1jpp.2.el4.x86_64.rpm	`9790762ccfa267866a9e80e2c1d431e6`
java-1.5.0-bea-src-1.5.0.11-1jpp.2.el4.x86_64.rpm	`9790762ccfa267866a9e80e2c1d431e6`

(The unlinked packages above are only available from the Red Hat Network)

バグフィックス (詳細は、bugzilla/バグジラ[英語]を御覧ください。)

242595 - CVE-2007-3004 Integer overflow in IBM JDK's ICC profile parser
246765 - CVE-2007-3503 HTML files generated with Javadoc are vulnerable to a XSS
249539 - CVE-2007-3698 Java Secure Socket Extension Does Not Correctly Process SSL/TLS Handshake Requests Resulting in a Denial of Service (DoS) Condition
250725 - CVE-2007-2788 Integer overflow in the embedded ICC profile image parser in Sun Java Development Kit
250729 - CVE-2007-2789 BMP image parser vulnerability
250733 - CVE-2007-3005 Unspecified vulnerability in Sun JRE
253488 - CVE-2007-4381 Vulnerability in the font parsing code
325941 - CVE-2007-0243 GIF buffer overflow

参照

ここに在るパッケージはセキュリティの為、Red Hat, Inc. によって、GPG認証されています。
認証キー及び詳細は以下を御覧下さい。
https://www.redhat.com/security/team/key/#package

The Red Hat security contact is secalert@redhat.com. More contact details at http://www.redhat.com/security/team/contact/

メインリンク:

Links for this section:

中（Moderate）：java-1.5.0-beaのセキュリティアップデート

RHSA-2007:0956-3

詳細

解決法

アップデートパッケージ

バグフィックス (詳細は、bugzilla/バグジラ[英語]を御覧ください。)

参照