[upki-fed:01225] Re: 【注意喚起】 Java SE JDKおよびJREの脆弱性について(2018/7付アドバイザり)

[Takeshi NISHIMURA <xxxxxxx@xxxxxxxxx>]

NIIの西村です。

>    ※ 8/2現在CentOSにはjava-1.7.0-openjdkの修正パッケージはリリースされていません。

紆余曲折を経てCentOSにもjava-1.7.0-openjdkの修正パッケージが配布されており
ます。適用をご検討の方はよろしくお願いします。

5月に私がこちらへ流したRed HatのOpenJDK 7の更新が終了するという噂は、結果的
に間違ったものとなりました。お詫びして訂正します。

とはいえ更新が遅れ気味なのは間違いありませんので、以前書いた以下のページを
ご参照の上8への移行のご検討をお勧めします。

> OpenJDK 7→8の移行に関してこちらで把握している情報は
> https://meatwiki.nii.ac.jp/confluence/x/eIExAQ
> の「Java 7 or 8」にまとめている通りですが、他に有益な情報があ
> りましたらお知らせください。 

なお、将来のバージョンのOpenJDK/Oracle JDKで再度スクリプトの書式が変更にな
るかもという情報があります。OracleがNashornの同梱をやめることに起因するもの
ですが、Shibboleth開発元の方針が決まりましたらお知らせする予定です。
https://issues.shibboleth.net/jira/browse/JPAR-121


On 2018/08/02 13:07, 国立情報学研究所　学認事務局 wrote:
> IdP運用ご担当者　各位
> 学認情報交換メーリングリスト参加者　各位
>
> 　国立情報学研究所　学認事務局です。
> 平素より学認の運営にご協力を賜り，ありがとうございます。
>
> OpenJDKおよびOracle Javaで複数の脆弱性に関するアナウンスが公開されてお
> ります。
>
> 以下のサイトなどで情報をご確認いただき、修正パッケージが公開され次第、
> すみやかにアップデートを実施していただくことをお勧め致します。
>
> (Red Hat Security Advisory)
> - java-1.8.0-openjdk
>    RHEL6系(https://access.redhat.com/errata/RHSA-2018:2241)
>    RHEL7系(https://access.redhat.com/errata/RHSA-2018:2242)
>
> - java-1.7.0-openjdk
>    RHEL6系(https://access.redhat.com/errata/RHSA-2018:2283)
>    RHEL7系(https://access.redhat.com/errata/RHSA-2018:2286)
>    ※ 8/2現在CentOSにはjava-1.7.0-openjdkの修正パッケージはリリースされていません。
>
> (Red Hat CVE Database)
> https://access.redhat.com/security/cve/cve-2018-2938
> https://access.redhat.com/security/cve/cve-2018-2942
> https://access.redhat.com/security/cve/cve-2018-2972
> https://access.redhat.com/security/cve/cve-2018-2952
>
> ※ 上記はShibboleth IdPでの使用を想定し、いわゆるクライアント向けのみの
>     脆弱性は除外しております。
>
> (Oracle Critical Patch Update Advisory - July 2018)
> http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html
>
> (2018年 7月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起)
> https://www.jpcert.or.jp/at/2018/at180029.html

--
西村健
国立情報学研究所 TEL:03-4212-2890