[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:01043] Re: 【注意喚起】OpenJDKおよびOracle Javaの脆弱性について(2016/4/22)

Subject: [upki-fed:01043] Re: 【注意喚起】OpenJDKおよびOracle Javaの脆弱性について(2016/4/22)
Date: Wed, 27 Apr 2016 18:43:11 +0900
From: Takeshi NISHIMURA <xxxxxxx@xxxxxxxxx>

西村です。

今回の四半期に一度の脆弱性公開でShibboleth IdPの運用に
関係しそうなものというと以下でしょうか。
https://access.redhat.com/security/cve/cve-2016-3427
JMXポートを開けた運用をしているならデシリアライズ経由で
コード実行が可能、と思われます。

他に攻撃方法をご存知の方がいらっしゃいましたらお知らせください。

この他毎回恒例となっている暗号系の改善がありますので、暗号の
強度を気にされる方は毎回アップデートすることをお勧めします。
https://access.redhat.com/security/cve/cve-2016-3426 （GCM関連）
https://access.redhat.com/security/cve/cve-2016-0695 （DSA関連）

なお、前回から引き続きですがMD5withRSAの署名を受け付けなくなった
ことから、IdPのバックチャネルでそのような証明書での接続がうまく
いかなくなっています。
Subject: Java 8u72 / MD5 certificates
https://marc.info/?l=shibboleth-users&m=145357221621549&w=2
Subject: Does JDK 8u72 break OpenSAML certificate parsing in some cases?
http://marc.info/?t=145451127300006&r=1&w=2

学認参加IdP/SPでは該当する証明書を使っているのはScienceDirect
のみでSAML2のためバックチャネルを使うことはなく、問題になることは
ないと思います。
他のフェデレーションをご利用の方、ローカルフェデレーションを運用し
ている方は、登録されている証明書にご注意ください。

> 2016/04/26 10:04、学認事務局　末永 <xxxxxxxxxxxxxx@xxxxxxxxx> のメール：
> 
> 学認情報交換ML　参加者各位
> 学認各IdP / SP運用ご担当者各位
> 
> 　国立情報学研究所　学認事務局の末永です。
> 平素より学認の運営にご協力を賜り，ありがとうございます。
> 
> 
> OpenJDKおよびOracle Javaに複数の脆弱性があり、脆弱性の修正されたバージョ
> ンが公開されました。
> 遠隔の第三者は、これらの脆弱性を使用することで、Javaを不正終了させたり、
> 任意のコードを実行させたりする可能性があります。
> 
> Red Hat Security Advisory
> - OpenJDK7 (java-1.7.0-openjdk)
>   RHEL7系: https://rhn.redhat.com/errata/RHSA-2016-0676.html
>   RHEL6系: https://rhn.redhat.com/errata/RHSA-2016-0675.html
>   RHEL5系: https://rhn.redhat.com/errata/RHSA-2016-0676.html
> 
> - OpenJDK8 (java-1.8.0-openjdk)
>   RHEL7系: https://rhn.redhat.com/errata/RHSA-2016-0650.html
>   RHEL6系: https://rhn.redhat.com/errata/RHSA-2016-0651.html
> 
>  Oracle Critical Patch Update Advisory - April 2016
> 
> http://www.oracle.com/technetwork/security-advisory/cpuapr2016v3-2985753.html
> 
> Shibboleth IdPを運用されている機関におかれましては、以下の対応策をご確認
> の上、ご対応ください。
> 修正バージョンへの更新作業後にTomcatの再起動が必要です。
> 
> 【対応策】
> 
> Linuxディストリビューションの提供する最新版のOpenJDKパッケージ、または
> Oracle社から提供されている最新版Java SE JDK/JREに更新してください。
> 更新後にTomcatの再起動を行ってください。
> 
> 現在の学認技術ガイドに沿って構築されたShibboleth IdP環境では、Linuxディ
> ストリビューションの提供するOpenJDK7を使用しています。
> 4/22の時点では以下のパッケージが最新です。
> 
>  (RHEL6系)
>  java-1.7.0-openjdk-1.7.0.101-2.6.6.1.el6_7
> 
>  (RHEL7系)
>  java-1.7.0-openjdk-1.7.0.101-2.6.6.1.el7_2
> 
> 
> 【参考情報】
> 
> (IPA) Oracle Java の脆弱性対策について(CVE-2016-3443等)
> https://www.ipa.go.jp/security/ciadr/vul/20160420-jre.html
> 
> (Oracle) Oracle Critical Patch Update Advisory - April 2016
> http://www.oracle.com/technetwork/security-advisory/cpuapr2016v3-2985753.html
> 
> (US-CERT) Oracle Releases Security Bulletin
> https://www.us-cert.gov/ncas/current-activity/2016/04/19/Oracle-Releases-Security-Bulletin
> 
> (JPCERT/CC) 2016年4月 Oracle Java SE のクリティカルパッチアップデートに
> 関する注意喚起
> https://www.jpcert.or.jp/at/2016/at160018.html

-- 
西村健
国立情報学研究所 TEL:03-4212-2890
⌘

Follow-Ups:
- [upki-fed:01049] Re: 【注意喚起】OpenJDKおよびOracle Javaの脆弱性について(2016/4/22)
  - From: Takeshi NISHIMURA

References:
- [upki-fed:01042] 【注意喚起】OpenJDKおよびOracle Javaの脆弱性について(2016/4/22)
  - From: 学認事務局　末永

Prev by Date: [upki-fed:01042] 【注意喚起】OpenJDKおよびOracle Javaの脆弱性について(2016/4/22)
Next by Date: [upki-fed:01044] Shibboleth SP の脆弱性について (2016/5/6)
Previous by thread: [upki-fed:01042] 【注意喚起】OpenJDKおよびOracle Javaの脆弱性について(2016/4/22)
Next by thread: [upki-fed:01049] Re: 【注意喚起】OpenJDKおよびOracle Javaの脆弱性について(2016/4/22)
Index(es):
- Date
- Thread