中（Moderate）： java-1.4.2-beaのセキュリティアップデート

アップデートID:	RHSA-2008:0100-4
タイプ:	Security Advisory
重大性:	中/Moderate
発行日:	2008年3月11日
最終更新日:	2008年3月11日
影響のある製品:	RHEL Desktop Supplementary (v. 5 client) RHEL Supplementary (v. 5 server) Red Hat Enterprise Linux Extras (v. 3) Red Hat Enterprise Linux Extras (v. 4)
OVAL:	com.redhat.rhsa-20080100.xml
CVEs (cve.mitre.org):	CVE-2007-2788 CVE-2007-2789 CVE-2007-3698 CVE-2007-4381 CVE-2007-5232 CVE-2007-5239 CVE-2007-5240 CVE-2007-5273

詳細

複数のセキュリティ問題を修正し、機能が追加されたjava-1.4.2-beaのアップデートパッケージがRed Hat Enterprise Linux 3 Extras、4 Extras、5 Supplementaryで利用可能になりました。

このアップデートは、レッドハットセキュリティ対策チームによって、深刻度「中（Moderate）」のセキュリティ問題と評価されています。

BEA WebLogic JRockit 1.4.2_16 JREとSDKは、BEA WebLogic JRockit仮想マシン1.4.2_16を含み、Java 5 Platform Standard Edition v1.4.2用としての認定を受けています。

Java Runtime Environmentの画像処理コードでバッファオーバーフローが見つかりました。アタッカーが巧妙に作成した画像ファイルをサーバアプリケーションで処理し、Java仮想マシンを実行しているユーザとして任意のコードが実行できる可能性があります。（CVE-2007-2788、CVE-2007-2789）

JSSEコンポーネントでのSSL/TLSハンドシェイクリクエストの処理でサービス拒否の問題が見つかりました。JSSE対応のサービスに接続できるリモートのアタッカーが巧妙に作成したハンドシェイクを送信することにより、Java Runtime Environmentがその後の要求に応答しないようにすることが可能になっています。（CVE-2007-3698）

Java Runtime Environmentでのフォントデータの処理で問題が見つかりました。appletviewerアプリケーション経由で参照されたアプレットが上位の権限を取得することができ、appletviewerアプリケーションを実行しているユーザと同じ権限でアクションを実行できてしまいます。信頼性のないサードパーティ製のフォント情報を処理することにより、サーバアプリケーションをクラッシュさせることも可能です。（CVE-2007-4381）

Java Runtime Environment（JRE）のアプレットキャッシングメカニズムに問題があったため、ネットワーク接続の作成が正しく処理されませんでした。リモートのアタッカーがこの問題を利用し、アプレットのダウンロード元以外のマシンによるサービスへの接続を作成する可能性があります。（CVE-2007-5232）

信頼性のないJava Web StartアプリケーションやJavaアプレットにより、ファイルをデスクトップアプリケーションにドラッグアンドドロップできました。ユーザの助けを借りたリモートのアタッカーがこの問題を利用し、任意のファイルを移動したり、コピーしたりする可能性があります。（CVE-2007-5239）

Java Runtime Environment（JRE）において、信頼性のないJavaアプレットまたはアプリケーションで、オーバーサイズのウィンドウの描画が可能でした。リモートのアタッカーがこれを悪用すると、セキュリティ警告バナーを隠すことができてしまいます。（CVE-2007-5240）

HTTPプロキシ経由で通信する署名のないJavaアプレットにより、リモート攻撃者がJavaセキュリティモデルに違反することが可能です。キャッシュされた悪意のあるアプレットにより、他のマシン上のサービスへのネットワーク接続が作成される可能性があります。（CVE-2007-5273）

これらアプレットに関連した脆弱性は、appletviewerアプリケーションの呼び出としてjava-1.4.2-beaの中でのみトリガ可能であると考えられます。

java-1.4.2-beaのすべてのユーザは、これらの問題を修正するBEA WebLogic JRockit 1.4.2_16を含む上記パッケージにアップグレードしてください。

解決法

このアップデートを適用する前に、ご使用のシステムに関係するリリース済みのエラータ/Errataがすべて適用されていることを確認してください。

このアップデートは、Red Hat Networkを通じて入手できます。

アップデートパッケージ

RHEL Desktop Supplementary (v. 5 client)

IA-32:
java-1.4.2-bea-1.4.2.16-1jpp.1.el5.i686.rpm	`f0cc65a52245765859527ce48c3d86bc`
java-1.4.2-bea-demo-1.4.2.16-1jpp.1.el5.i686.rpm	`561f8c5693e600155b068569271197b7`
java-1.4.2-bea-devel-1.4.2.16-1jpp.1.el5.i686.rpm	`a589093255792ac6dd0ed4fb8b839146`
java-1.4.2-bea-jdbc-1.4.2.16-1jpp.1.el5.i686.rpm	`77861273f36d7bbaeef53fd2342475e0`
java-1.4.2-bea-missioncontrol-1.4.2.16-1jpp.1.el5.i686.rpm	`2b85480cfece47c4ea291e7448a11088`
java-1.4.2-bea-src-1.4.2.16-1jpp.1.el5.i686.rpm	`1659fb08717eab31cb91ae457c2fc5b2`

x86_64:
java-1.4.2-bea-1.4.2.16-1jpp.1.el5.i686.rpm	`f0cc65a52245765859527ce48c3d86bc`
java-1.4.2-bea-demo-1.4.2.16-1jpp.1.el5.i686.rpm	`561f8c5693e600155b068569271197b7`
java-1.4.2-bea-devel-1.4.2.16-1jpp.1.el5.i686.rpm	`a589093255792ac6dd0ed4fb8b839146`
java-1.4.2-bea-jdbc-1.4.2.16-1jpp.1.el5.i686.rpm	`77861273f36d7bbaeef53fd2342475e0`
java-1.4.2-bea-missioncontrol-1.4.2.16-1jpp.1.el5.i686.rpm	`2b85480cfece47c4ea291e7448a11088`
java-1.4.2-bea-src-1.4.2.16-1jpp.1.el5.i686.rpm	`1659fb08717eab31cb91ae457c2fc5b2`

RHEL Supplementary (v. 5 server)

IA-32:
java-1.4.2-bea-1.4.2.16-1jpp.1.el5.i686.rpm	`f0cc65a52245765859527ce48c3d86bc`
java-1.4.2-bea-demo-1.4.2.16-1jpp.1.el5.i686.rpm	`561f8c5693e600155b068569271197b7`
java-1.4.2-bea-devel-1.4.2.16-1jpp.1.el5.i686.rpm	`a589093255792ac6dd0ed4fb8b839146`
java-1.4.2-bea-jdbc-1.4.2.16-1jpp.1.el5.i686.rpm	`77861273f36d7bbaeef53fd2342475e0`
java-1.4.2-bea-missioncontrol-1.4.2.16-1jpp.1.el5.i686.rpm	`2b85480cfece47c4ea291e7448a11088`
java-1.4.2-bea-src-1.4.2.16-1jpp.1.el5.i686.rpm	`1659fb08717eab31cb91ae457c2fc5b2`

IA-64:
java-1.4.2-bea-1.4.2.16-1jpp.1.el5.ia64.rpm	`5f685591d03a1a4c4e6a86976d91dcc3`
java-1.4.2-bea-demo-1.4.2.16-1jpp.1.el5.ia64.rpm	`3d2083b5e2ff9b131b0085821cece83c`
java-1.4.2-bea-devel-1.4.2.16-1jpp.1.el5.ia64.rpm	`edcf3e48a6219369b0587bfcfcf3cbbf`
java-1.4.2-bea-jdbc-1.4.2.16-1jpp.1.el5.ia64.rpm	`0f999be3102b47a0e5ae653846dde30c`
java-1.4.2-bea-src-1.4.2.16-1jpp.1.el5.ia64.rpm	`1e3a314c96ee85a34f6050e523657199`

x86_64:
java-1.4.2-bea-1.4.2.16-1jpp.1.el5.i686.rpm	`f0cc65a52245765859527ce48c3d86bc`
java-1.4.2-bea-demo-1.4.2.16-1jpp.1.el5.i686.rpm	`561f8c5693e600155b068569271197b7`
java-1.4.2-bea-devel-1.4.2.16-1jpp.1.el5.i686.rpm	`a589093255792ac6dd0ed4fb8b839146`
java-1.4.2-bea-jdbc-1.4.2.16-1jpp.1.el5.i686.rpm	`77861273f36d7bbaeef53fd2342475e0`
java-1.4.2-bea-missioncontrol-1.4.2.16-1jpp.1.el5.i686.rpm	`2b85480cfece47c4ea291e7448a11088`
java-1.4.2-bea-src-1.4.2.16-1jpp.1.el5.i686.rpm	`1659fb08717eab31cb91ae457c2fc5b2`

Red Hat Enterprise Linux Extras (v. 3)

IA-32:
java-1.4.2-bea-1.4.2.16-1jpp.1.el3.i686.rpm	`3dfb0990df0143e5d5d3d8c7bbee504a`
java-1.4.2-bea-1.4.2.16-1jpp.1.el3.i686.rpm	`3dfb0990df0143e5d5d3d8c7bbee504a`
java-1.4.2-bea-1.4.2.16-1jpp.1.el3.i686.rpm	`3dfb0990df0143e5d5d3d8c7bbee504a`
java-1.4.2-bea-1.4.2.16-1jpp.1.el3.i686.rpm	`3dfb0990df0143e5d5d3d8c7bbee504a`
java-1.4.2-bea-devel-1.4.2.16-1jpp.1.el3.i686.rpm	`4ab07e8b6683c912a1937590709e65c7`
java-1.4.2-bea-devel-1.4.2.16-1jpp.1.el3.i686.rpm	`4ab07e8b6683c912a1937590709e65c7`
java-1.4.2-bea-devel-1.4.2.16-1jpp.1.el3.i686.rpm	`4ab07e8b6683c912a1937590709e65c7`
java-1.4.2-bea-devel-1.4.2.16-1jpp.1.el3.i686.rpm	`4ab07e8b6683c912a1937590709e65c7`
java-1.4.2-bea-jdbc-1.4.2.16-1jpp.1.el3.i686.rpm	`4ebfb8ad1afd5889c1cecd92a9db8f02`
java-1.4.2-bea-jdbc-1.4.2.16-1jpp.1.el3.i686.rpm	`4ebfb8ad1afd5889c1cecd92a9db8f02`
java-1.4.2-bea-jdbc-1.4.2.16-1jpp.1.el3.i686.rpm	`4ebfb8ad1afd5889c1cecd92a9db8f02`
java-1.4.2-bea-jdbc-1.4.2.16-1jpp.1.el3.i686.rpm	`4ebfb8ad1afd5889c1cecd92a9db8f02`

IA-64:
java-1.4.2-bea-1.4.2.16-1jpp.1.el3.ia64.rpm	`7d06d0c7e16ccc09d7f87040ea2870b1`
java-1.4.2-bea-1.4.2.16-1jpp.1.el3.ia64.rpm	`7d06d0c7e16ccc09d7f87040ea2870b1`
java-1.4.2-bea-1.4.2.16-1jpp.1.el3.ia64.rpm	`7d06d0c7e16ccc09d7f87040ea2870b1`
java-1.4.2-bea-devel-1.4.2.16-1jpp.1.el3.ia64.rpm	`164fdec80909a95c7ca7147cfb049944`
java-1.4.2-bea-devel-1.4.2.16-1jpp.1.el3.ia64.rpm	`164fdec80909a95c7ca7147cfb049944`
java-1.4.2-bea-devel-1.4.2.16-1jpp.1.el3.ia64.rpm	`164fdec80909a95c7ca7147cfb049944`
java-1.4.2-bea-jdbc-1.4.2.16-1jpp.1.el3.ia64.rpm	`677d54e682264a425a122a91e2c7a443`
java-1.4.2-bea-jdbc-1.4.2.16-1jpp.1.el3.ia64.rpm	`677d54e682264a425a122a91e2c7a443`
java-1.4.2-bea-jdbc-1.4.2.16-1jpp.1.el3.ia64.rpm	`677d54e682264a425a122a91e2c7a443`

Red Hat Enterprise Linux Extras (v. 4)

IA-32:
java-1.4.2-bea-1.4.2.16-1jpp.1.el4.i686.rpm	`fc1aafc4c30d6ef14d32984470982147`
java-1.4.2-bea-1.4.2.16-1jpp.1.el4.i686.rpm	`fc1aafc4c30d6ef14d32984470982147`
java-1.4.2-bea-1.4.2.16-1jpp.1.el4.i686.rpm	`fc1aafc4c30d6ef14d32984470982147`
java-1.4.2-bea-1.4.2.16-1jpp.1.el4.i686.rpm	`fc1aafc4c30d6ef14d32984470982147`
java-1.4.2-bea-devel-1.4.2.16-1jpp.1.el4.i686.rpm	`4822fc2fc8d9febb60a8f404f989bd23`
java-1.4.2-bea-devel-1.4.2.16-1jpp.1.el4.i686.rpm	`4822fc2fc8d9febb60a8f404f989bd23`
java-1.4.2-bea-devel-1.4.2.16-1jpp.1.el4.i686.rpm	`4822fc2fc8d9febb60a8f404f989bd23`
java-1.4.2-bea-devel-1.4.2.16-1jpp.1.el4.i686.rpm	`4822fc2fc8d9febb60a8f404f989bd23`
java-1.4.2-bea-jdbc-1.4.2.16-1jpp.1.el4.i686.rpm	`86ea99743f79fd3a078bdc7d9efff8e0`
java-1.4.2-bea-jdbc-1.4.2.16-1jpp.1.el4.i686.rpm	`86ea99743f79fd3a078bdc7d9efff8e0`
java-1.4.2-bea-jdbc-1.4.2.16-1jpp.1.el4.i686.rpm	`86ea99743f79fd3a078bdc7d9efff8e0`
java-1.4.2-bea-jdbc-1.4.2.16-1jpp.1.el4.i686.rpm	`86ea99743f79fd3a078bdc7d9efff8e0`

IA-64:
java-1.4.2-bea-1.4.2.16-1jpp.1.el4.ia64.rpm	`8efdbfc00afab064545fdddf5206f534`
java-1.4.2-bea-1.4.2.16-1jpp.1.el4.ia64.rpm	`8efdbfc00afab064545fdddf5206f534`
java-1.4.2-bea-1.4.2.16-1jpp.1.el4.ia64.rpm	`8efdbfc00afab064545fdddf5206f534`
java-1.4.2-bea-devel-1.4.2.16-1jpp.1.el4.ia64.rpm	`68d2f4b899bc6fdd0e10e7adcdd3e135`
java-1.4.2-bea-devel-1.4.2.16-1jpp.1.el4.ia64.rpm	`68d2f4b899bc6fdd0e10e7adcdd3e135`
java-1.4.2-bea-devel-1.4.2.16-1jpp.1.el4.ia64.rpm	`68d2f4b899bc6fdd0e10e7adcdd3e135`
java-1.4.2-bea-jdbc-1.4.2.16-1jpp.1.el4.ia64.rpm	`aceb49660a390e546732453e6c5860d6`
java-1.4.2-bea-jdbc-1.4.2.16-1jpp.1.el4.ia64.rpm	`aceb49660a390e546732453e6c5860d6`
java-1.4.2-bea-jdbc-1.4.2.16-1jpp.1.el4.ia64.rpm	`aceb49660a390e546732453e6c5860d6`

x86_64:
java-1.4.2-bea-1.4.2.16-1jpp.1.el4.i686.rpm	`fc1aafc4c30d6ef14d32984470982147`
java-1.4.2-bea-1.4.2.16-1jpp.1.el4.i686.rpm	`fc1aafc4c30d6ef14d32984470982147`
java-1.4.2-bea-1.4.2.16-1jpp.1.el4.i686.rpm	`fc1aafc4c30d6ef14d32984470982147`
java-1.4.2-bea-1.4.2.16-1jpp.1.el4.i686.rpm	`fc1aafc4c30d6ef14d32984470982147`
java-1.4.2-bea-devel-1.4.2.16-1jpp.1.el4.i686.rpm	`4822fc2fc8d9febb60a8f404f989bd23`
java-1.4.2-bea-devel-1.4.2.16-1jpp.1.el4.i686.rpm	`4822fc2fc8d9febb60a8f404f989bd23`
java-1.4.2-bea-devel-1.4.2.16-1jpp.1.el4.i686.rpm	`4822fc2fc8d9febb60a8f404f989bd23`
java-1.4.2-bea-devel-1.4.2.16-1jpp.1.el4.i686.rpm	`4822fc2fc8d9febb60a8f404f989bd23`

(The unlinked packages above are only available from the Red Hat Network)

バグフィックス (詳細は、bugzilla/バグジラ[英語]を御覧ください。)

249539 - CVE-2007-3698 Java Secure Socket Extension Does Not Correctly Process SSL/TLS Handshake Requests Resulting in a Denial of Service (DoS) Condition
250725 - CVE-2007-2788 Integer overflow in the embedded ICC profile image parser in Sun Java Development Kit
250729 - CVE-2007-2789 BMP image parser vulnerability
253488 - CVE-2007-4381 java: Vulnerability in the font parsing code
321951 - CVE-2007-5232 Security Vulnerability in Java Runtime Environment With Applet Caching
321991 - CVE-2007-5240 Applets or Applications are allowed to display an oversized window
324351 - CVE-2007-5273 Anti-DNS Pinning and Java Applets with HTTP proxy

参照

キーワード

Security

ここに在るパッケージはセキュリティの為、Red Hat, Inc. によって、GPG認証されています。
認証キー及び詳細は以下を御覧下さい。
https://www.redhat.com/security/team/key/#package

The Red Hat security contact is secalert@redhat.com. More contact details at http://www.redhat.com/security/team/contact/

メインリンク:

Links for this section:

中（Moderate）： java-1.4.2-beaのセキュリティアップデート

RHSA-2008:0100-4

詳細

解決法

アップデートパッケージ

バグフィックス (詳細は、bugzilla/バグジラ[英語]を御覧ください。)

参照

キーワード