中（Moderate）: java-1.6.0-beaのセキュリティアップデート

複数のセキュリティ問題を修正したjava-1.6.0-beaのアップデートパッケージがRed Hat Enterprise Linux 5 Supplementaryで利用可能になりました。

このアップデートは、レッドハットセキュリティ対策チームによって、深刻度「中（Moderate）」のセキュリティ問題と評価されています。

BEA WebLogic JRockit 1.6.0_03 JREとSDKは、BEA WebLogic JRockit仮想マシン1.6.0_03を含み、Java 6 Platform, Standard Edition, v1.6.0用としての認定を受けています。

Java XML構文解析コードは、external general entitiesプロパティがFALSEに設定されていた場合でも外部生成エンティティの参照を行っていました。リモートのアタッカーはこれを利用してXML外部エンティティ（XXE）攻撃を行い、サービス拒否の誘発や、制限されたリソースへアクセスできます。 (CVE-2008-0628)

Java XSLT処理クラスの中で1つの問題が発見されました。信頼できないアプレットやアプリケーションによるサービス拒否の誘発や、JREを実行しているユーザ・パーミッションで任意のコードの実行を許してしまうものです。（CVE-2008-1187）

JREの画像解析ライブラリの中では1つの問題が発見されました。信頼できないアプレットやアプリケーションによるサービス拒否の誘発や、JREを実行しているユーザ・パーミッションで任意のコードの実行を許してしまうものです。（CVE-2008-1193）

JREのカラーマネージメント・ライブラリの中では1つの問題が発見されました。信頼できないアプレットやアプリケーションに、JVMをクラッシュさせる機会を与えてしまうものです。（CVE-2008-1194）

上述の脆弱性の影響を受けるアプレットは、appletviewerアプリケーションを呼び出すことによってjava-1.6.0-beaからトリガできるものに限られます。

java-1.6.0-beaのすべてのユーザは、これらの問題を修正する上記パッケージにアップグレードしてください。

このアップデートを適用する前に、ご使用のシステムに関係するリリース済みのエラータ/Errataがすべて適用されていることを確認してください。

このアップデートは、Red Hat Networkを通じて入手できます。

431416 - CVE-2008-0628 java-1.6.0 default external entity processing
436030 - CVE-2008-1187 Untrusted applet and application XSLT processing privilege escalation
436296 - CVE-2008-1193 JRE image parsing library allows privilege escalation (CVE-2008-1194)

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0628
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1187
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1193
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1194
http://dev2dev.bea.com/pub/advisory/277
http://www.redhat.com/security/updates/classification/#moderate