 |
重大(Critical): java-1.5.0-sunのセキュリティアップデート
| アップデートID: | RHSA-2008:0186-3 |
|---|---|
| タイプ: | Security Advisory |
| 重大性: | 重大/Critical |
| 発行日: | 2008年3月6日 |
| 最終更新日: | 2008年3月6日 |
| 影響のある製品: |
RHEL Desktop Supplementary (v. 5 client) RHEL Supplementary (v. 5 server) Red Hat Enterprise Linux Extras (v. 4) |
| OVAL: | https://rhn.redhat.com/errata/RHSA-2008-0186.html |
| CVEs (cve.mitre.org): |
CVE-2008-1185 CVE-2008-1186 CVE-2008-1187 CVE-2008-1188 CVE-2008-1189 CVE-2008-1190 CVE-2008-1191 CVE-2008-1192 CVE-2008-1193 CVE-2008-1194 CVE-2008-1195 CVE-2008-1196 |
詳細
複数のセキュリティ問題を修正したjava-1.5.0-sunのアップデートパッケージがRed Hat Enterprise Linux 4 Extrasと5 Supplementaryで利用可能になりました。
このアップデートは、レッドハットセキュリティ対策チームによって、深刻度「重大(Critical)」のセキュリティ問題と評価されています。
Java Runtime Environment(JRE)には、Java言語で記述されたアプレットやアプリケーションを実行するために必要なソフトウェアとツールが含まれています。
JREに含まれていた問題は、信頼できないアプレットやアプリケーションに上位の権限を与えてしまいます。これをリモートのアタッカーに悪用された場合、JREを利用しているユーザによってアクセス可能なローカル・ファイルへのアクセスや、ローカル・アプリケーションの実行を許してしまう恐れがあります。(CVE-2008-1185, CVE-2008-1186)
Java XSLT処理クラスの中では1つの問題が発見されました。信頼できないアプレットやアプリケーションによるサービス拒否の誘発や、JREを実行しているユーザ・パーミッションで任意のコードの実行を許してしまうものです。(CVE-2008-1187)
Java Web Start (JWS)では複数のバッファ・オーバーフローが発見されました。これらの問題は信頼できないJNLPアプリケーションに、JREを実行しているユーザがアクセス可能なローカル・ファイルへのアクセスや、ローカル・アプリケーションの実行を許してしまいます。(CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1196)
Java Plug-inの中では1つの問題が発見されました。リモートのアタッカーによる同一生成元ポリシー(Same Origin Policy)のバイパスを可能にし、JREを実行しているユーザ・パーミッションで任意のコードの実行を許してしまうものです。(CVE-2008-1192)
JREの画像解析ライブラリの中では1つの問題が発見されました。信頼できないアプレットやアプリケーションによるサービス拒否の誘発や、JREを実行しているユーザ・パーミッションで任意のコードの実行を許してしまうものです。(CVE-2008-1193)
JREのカラーマネージメント・ライブラリの中では1つの問題が発見されました。信頼できないアプレットやアプリケーションに、JVMをクラッシュさせる機会を与えてしまうものです。(CVE-2008-1194)
JREは信頼できないJavaScriptコードにJava API群を利用したローカル・ネットワークへの接続を許してしまいます。リモートのアタッカーがこれを悪用すると、ローカル・ネットワークのサービスへアクセスできてしまいます。(CVE-2008-1195)
このアップデートでは、Java Plug-inがブラウザに正しくインストールされた後でも利用できなかった問題も解決されています。
java-1.5.0-sunのユーザは、これらの問題を解決する上記アップデートパッケージにアップグレードしてください。
解決法
このアップデートを適用する前に、ご使用のシステムに関係するリリース済みのエラータ/Errataがすべて適用されていることを確認してください。
このアップデートは、Red Hat Networkを通じて入手できます。
アップデートパッケージ
| RHEL Desktop Supplementary (v. 5 client) | |
| IA-32: | |
| java-1.5.0-sun-1.5.0.15-1jpp.2.el5.i586.rpm | 18c3ac793bf0933535f34c4f34db10c6 |
| java-1.5.0-sun-demo-1.5.0.15-1jpp.2.el5.i586.rpm | 1da388c51f565d0b597bea1c561c4df1 |
| java-1.5.0-sun-devel-1.5.0.15-1jpp.2.el5.i586.rpm | 8d79e45143f711ac73c5c10eab72be04 |
| java-1.5.0-sun-jdbc-1.5.0.15-1jpp.2.el5.i586.rpm | 5bc2343c3b36132f89226e813a85e14c |
| java-1.5.0-sun-plugin-1.5.0.15-1jpp.2.el5.i586.rpm | 8369328b32697f43b9a0031c19ce6491 |
| java-1.5.0-sun-src-1.5.0.15-1jpp.2.el5.i586.rpm | 3058888e8ad21b71718731d5956f32ea |
| x86_64: | |
| java-1.5.0-sun-1.5.0.15-1jpp.2.el5.x86_64.rpm | 0e0dfa1ddb4ffd4f363a8f5950dcedb7 |
| java-1.5.0-sun-demo-1.5.0.15-1jpp.2.el5.x86_64.rpm | d6fa0238a3d9ace335a1f0adf8a28390 |
| java-1.5.0-sun-devel-1.5.0.15-1jpp.2.el5.x86_64.rpm | 75fb9b5e270557895665f41c291d1b22 |
| java-1.5.0-sun-jdbc-1.5.0.15-1jpp.2.el5.x86_64.rpm | e3645754fbd5ab444cea8e90ca8f90d8 |
| java-1.5.0-sun-plugin-1.5.0.15-1jpp.2.el5.i586.rpm | 8369328b32697f43b9a0031c19ce6491 |
| java-1.5.0-sun-src-1.5.0.15-1jpp.2.el5.x86_64.rpm | 0140541307f63daaa6463a6819574a00 |
| RHEL Supplementary (v. 5 server) | |
| IA-32: | |
| java-1.5.0-sun-1.5.0.15-1jpp.2.el5.i586.rpm | 18c3ac793bf0933535f34c4f34db10c6 |
| java-1.5.0-sun-demo-1.5.0.15-1jpp.2.el5.i586.rpm | 1da388c51f565d0b597bea1c561c4df1 |
| java-1.5.0-sun-devel-1.5.0.15-1jpp.2.el5.i586.rpm | 8d79e45143f711ac73c5c10eab72be04 |
| java-1.5.0-sun-jdbc-1.5.0.15-1jpp.2.el5.i586.rpm | 5bc2343c3b36132f89226e813a85e14c |
| java-1.5.0-sun-plugin-1.5.0.15-1jpp.2.el5.i586.rpm | 8369328b32697f43b9a0031c19ce6491 |
| java-1.5.0-sun-src-1.5.0.15-1jpp.2.el5.i586.rpm | 3058888e8ad21b71718731d5956f32ea |
| x86_64: | |
| java-1.5.0-sun-1.5.0.15-1jpp.2.el5.x86_64.rpm | 0e0dfa1ddb4ffd4f363a8f5950dcedb7 |
| java-1.5.0-sun-demo-1.5.0.15-1jpp.2.el5.x86_64.rpm | d6fa0238a3d9ace335a1f0adf8a28390 |
| java-1.5.0-sun-devel-1.5.0.15-1jpp.2.el5.x86_64.rpm | 75fb9b5e270557895665f41c291d1b22 |
| java-1.5.0-sun-jdbc-1.5.0.15-1jpp.2.el5.x86_64.rpm | e3645754fbd5ab444cea8e90ca8f90d8 |
| java-1.5.0-sun-plugin-1.5.0.15-1jpp.2.el5.i586.rpm | 8369328b32697f43b9a0031c19ce6491 |
| java-1.5.0-sun-src-1.5.0.15-1jpp.2.el5.x86_64.rpm | 0140541307f63daaa6463a6819574a00 |
| Red Hat Enterprise Linux Extras (v. 4) | |
| IA-32: | |
| java-1.5.0-sun-1.5.0.15-1jpp.2.el4.i586.rpm | f900264d9f548756a3a41779540f7dd5 |
| java-1.5.0-sun-1.5.0.15-1jpp.2.el4.i586.rpm | f900264d9f548756a3a41779540f7dd5 |
| java-1.5.0-sun-1.5.0.15-1jpp.2.el4.i586.rpm | f900264d9f548756a3a41779540f7dd5 |
| java-1.5.0-sun-1.5.0.15-1jpp.2.el4.i586.rpm | f900264d9f548756a3a41779540f7dd5 |
| java-1.5.0-sun-demo-1.5.0.15-1jpp.2.el4.i586.rpm | 7456312e87bffc0f31c00cf8744c58c6 |
| java-1.5.0-sun-demo-1.5.0.15-1jpp.2.el4.i586.rpm | 7456312e87bffc0f31c00cf8744c58c6 |
| java-1.5.0-sun-demo-1.5.0.15-1jpp.2.el4.i586.rpm | 7456312e87bffc0f31c00cf8744c58c6 |
| java-1.5.0-sun-demo-1.5.0.15-1jpp.2.el4.i586.rpm | 7456312e87bffc0f31c00cf8744c58c6 |
| java-1.5.0-sun-devel-1.5.0.15-1jpp.2.el4.i586.rpm | f6dde9b5500012d45a7d09d6bd1c91f8 |
| java-1.5.0-sun-devel-1.5.0.15-1jpp.2.el4.i586.rpm | f6dde9b5500012d45a7d09d6bd1c91f8 |
| java-1.5.0-sun-devel-1.5.0.15-1jpp.2.el4.i586.rpm | f6dde9b5500012d45a7d09d6bd1c91f8 |
| java-1.5.0-sun-devel-1.5.0.15-1jpp.2.el4.i586.rpm | f6dde9b5500012d45a7d09d6bd1c91f8 |
| java-1.5.0-sun-jdbc-1.5.0.15-1jpp.2.el4.i586.rpm | 914b36bcb1b38a2a35c7214fb85db79c |
| java-1.5.0-sun-jdbc-1.5.0.15-1jpp.2.el4.i586.rpm | 914b36bcb1b38a2a35c7214fb85db79c |
| java-1.5.0-sun-jdbc-1.5.0.15-1jpp.2.el4.i586.rpm | 914b36bcb1b38a2a35c7214fb85db79c |
| java-1.5.0-sun-jdbc-1.5.0.15-1jpp.2.el4.i586.rpm | 914b36bcb1b38a2a35c7214fb85db79c |
| java-1.5.0-sun-plugin-1.5.0.15-1jpp.2.el4.i586.rpm | 345d5b3a35839b6be94484f5a4d49eba |
| java-1.5.0-sun-plugin-1.5.0.15-1jpp.2.el4.i586.rpm | 345d5b3a35839b6be94484f5a4d49eba |
| java-1.5.0-sun-plugin-1.5.0.15-1jpp.2.el4.i586.rpm | 345d5b3a35839b6be94484f5a4d49eba |
| java-1.5.0-sun-plugin-1.5.0.15-1jpp.2.el4.i586.rpm | 345d5b3a35839b6be94484f5a4d49eba |
| java-1.5.0-sun-src-1.5.0.15-1jpp.2.el4.i586.rpm | 63c8d86432933c1bc16878c98528ab3a |
| java-1.5.0-sun-src-1.5.0.15-1jpp.2.el4.i586.rpm | 63c8d86432933c1bc16878c98528ab3a |
| java-1.5.0-sun-src-1.5.0.15-1jpp.2.el4.i586.rpm | 63c8d86432933c1bc16878c98528ab3a |
| java-1.5.0-sun-src-1.5.0.15-1jpp.2.el4.i586.rpm | 63c8d86432933c1bc16878c98528ab3a |
| x86_64: | |
| java-1.5.0-sun-1.5.0.15-1jpp.2.el4.x86_64.rpm | 0cc2d6ee9020211167b7a8e03f81cb0d |
| java-1.5.0-sun-1.5.0.15-1jpp.2.el4.x86_64.rpm | 0cc2d6ee9020211167b7a8e03f81cb0d |
| java-1.5.0-sun-1.5.0.15-1jpp.2.el4.x86_64.rpm | 0cc2d6ee9020211167b7a8e03f81cb0d |
| java-1.5.0-sun-1.5.0.15-1jpp.2.el4.x86_64.rpm | 0cc2d6ee9020211167b7a8e03f81cb0d |
| java-1.5.0-sun-demo-1.5.0.15-1jpp.2.el4.x86_64.rpm | 63ce98ee7ac175d8cb9ef29f5d9d4932 |
| java-1.5.0-sun-demo-1.5.0.15-1jpp.2.el4.x86_64.rpm | 63ce98ee7ac175d8cb9ef29f5d9d4932 |
| java-1.5.0-sun-demo-1.5.0.15-1jpp.2.el4.x86_64.rpm | 63ce98ee7ac175d8cb9ef29f5d9d4932 |
| java-1.5.0-sun-demo-1.5.0.15-1jpp.2.el4.x86_64.rpm | 63ce98ee7ac175d8cb9ef29f5d9d4932 |
| java-1.5.0-sun-devel-1.5.0.15-1jpp.2.el4.x86_64.rpm | 067b97ab85d612af25894178319a97ae |
| java-1.5.0-sun-devel-1.5.0.15-1jpp.2.el4.x86_64.rpm | 067b97ab85d612af25894178319a97ae |
| java-1.5.0-sun-devel-1.5.0.15-1jpp.2.el4.x86_64.rpm | 067b97ab85d612af25894178319a97ae |
| java-1.5.0-sun-devel-1.5.0.15-1jpp.2.el4.x86_64.rpm | 067b97ab85d612af25894178319a97ae |
| java-1.5.0-sun-jdbc-1.5.0.15-1jpp.2.el4.x86_64.rpm | ead105806d87079837dd1f6eab7a7d1e |
| java-1.5.0-sun-jdbc-1.5.0.15-1jpp.2.el4.x86_64.rpm | ead105806d87079837dd1f6eab7a7d1e |
| java-1.5.0-sun-jdbc-1.5.0.15-1jpp.2.el4.x86_64.rpm | ead105806d87079837dd1f6eab7a7d1e |
| java-1.5.0-sun-jdbc-1.5.0.15-1jpp.2.el4.x86_64.rpm | ead105806d87079837dd1f6eab7a7d1e |
| java-1.5.0-sun-src-1.5.0.15-1jpp.2.el4.x86_64.rpm | 122eb81deb1930d53a46de94e23e9ff3 |
| java-1.5.0-sun-src-1.5.0.15-1jpp.2.el4.x86_64.rpm | 122eb81deb1930d53a46de94e23e9ff3 |
| java-1.5.0-sun-src-1.5.0.15-1jpp.2.el4.x86_64.rpm | 122eb81deb1930d53a46de94e23e9ff3 |
| java-1.5.0-sun-src-1.5.0.15-1jpp.2.el4.x86_64.rpm | 122eb81deb1930d53a46de94e23e9ff3 |
| (The unlinked packages above are only available from the Red Hat Network) | |
バグフィックス (詳細は、bugzilla/バグジラ[英語]を御覧ください。)
436029 - CVE-2008-1185 Untrusted applet and application privilege escalation (CVE-2008-1186)
436030 - CVE-2008-1187 Untrusted applet and application XSLT processing privilege escalation
436293 - CVE-2008-1188 Buffer overflow security vulnerabilities in Java Web Start (CVE-2008-1189, CVE-2008-1190, CVE-2008-1191)
436295 - CVE-2008-1192 Java Plugin same-origin-policy bypass
436296 - CVE-2008-1193 JRE image parsing library allows privilege escalation (CVE-2008-1194)
436299 - CVE-2008-1195 Java-API calls in untrusted Javascript allow network privilege escalation
436302 - CVE-2008-1196 Buffer overflow security vulnerabilities in Java Web Start
参照
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1186
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1187
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1188
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1189
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1190
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1191
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1192
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1193
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1194
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1195
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1196
http://sunsolve.sun.com/search/document.do?assetkey=1-66-233321-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-233322-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-233323-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-233324-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-233325-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-233326-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-233327-1
http://www.redhat.com/security/updates/classification/#critical
ここに在るパッケージはセキュリティの為、Red Hat, Inc. によって、GPG認証されています。
認証キー及び詳細は以下を御覧下さい。
https://www.redhat.com/security/team/key/#package
The Red Hat security contact is secalert@redhat.com. More contact details at http://www.redhat.com/security/team/contact/
Copyright © 2008 Red Hat, Inc. All rights reserved.
プライバシー ステートメント :
リーガル ステートメント/利用条件 :
特許に関する見解と約束 :
各種お問い合わせ