[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:01368] Re: 【注意喚起】Java SE JDK及びJREの脆弱性について(2020年10月)

Subject: [upki-fed:01368] Re: 【注意喚起】Java SE JDK及びJREの脆弱性について(2020年10月)
Date: Fri, 6 Nov 2020 18:47:48 +0900
From: Takeshi Nishimura <xxxxxxx@xxxxxxxxx>

Shibboleth IdPをご利用のみなさま、
NIIの西村です。

こちらの件ですが、RHELで配布を開始している8u272（
java-1.8.0-openjdk-1.8.0.272.b10-1.el7_9
java-1.8.0-openjdk-1.8.0.272.b10-0.el6_10
）かつShibboleth IdPバージョン3を使っている場合に、LDAP over TLS（つまり
StartTLSとLDAPS）が失敗するという情報があります。
https://marc.info/?l=shibboleth-users&m=160430766512138&w=2

上記に該当する方はご注意ください。他のバグ修正を含めた8u275を準備している模様です。
https://mail.openjdk.java.net/pipermail/jdk8u-dev/2020-November/012953.html

なお、Shibboleth IdPバージョン4はJNDIではなくUnboundIDを使う
ためこの影響を受けません。IdPv3でUnboundIDを使う方法については、
以下のページで触れておりますので必要な方はご参照ください。
https://meatwiki.nii.ac.jp/confluence/x/lx1HAQ

> 2020/11/06 14:39、MIZUMOTO, Akinori(GakuNin) <xxxxxxxxxxxxxx@xxxxxxxxx>のメール:
> 
> IdP運用担当者　各位
> 学認情報交換ML参加者　各位
> 
> 国立情報学研究所　学認事務局です。
> 平素より学認の運営にご協力を賜り，ありがとうございます。
> 
> 
> OpenJDKおよびOracle Javaで複数の脆弱性に関するアナウンスが公開されてお
> ります。
> 
> 以下のサイトなどで情報をご確認いただき、すみやかにアップデートを実施し
> ていただくことをお勧め致します。
> 
> (Red Hat Security Advisory)
> - java-11-openjdk
>  RHEL/CentOS 7: https://access.redhat.com/errata/RHSA-2020:4307
> 
> - java-1.8.0-openjdk
>  RHEL/CentOS 7: https://access.redhat.com/errata/RHSA-2020:4350
>  RHEL/CentOS 6: https://access.redhat.com/errata/RHSA-2020:4348
> 
> ※ OpenJDK 7(java-1.7.0-openjdk)は2020年6月にサポートが終了しており、
>   今後アップデートは提供されません。
>   https://access.redhat.com/ja/articles/1457743
> 
> ※ 10/27現在、CentOS 7/6には修正パッケージはリリースされていません。
> 
> (Red Hat CVE Database)
> https://access.redhat.com/security/cve/cve-2020-14792
> https://access.redhat.com/security/cve/cve-2020-14781
> https://access.redhat.com/security/cve/cve-2020-14782
> https://access.redhat.com/security/cve/cve-2020-14797
> https://access.redhat.com/security/cve/cve-2020-14779
> 
> ※ 上記はShibboleth IdPでの使用を想定し、いわゆるクライアント向けのみの
>   脆弱性は除外しております。
> 
> Oracle Critical Patch Update Advisory - October 2020
> https://www.oracle.com/security-alerts/cpuoct2020.html
> 
> 2020年10月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起
> https://www.jpcert.or.jp/at/2020/at200040.html

-- 
西村健
国立情報学研究所 TEL:03-4212-2890
★在宅勤務の場合もありますので、基本的にメールでご連絡ください★
⌘

References:
- [upki-fed:01366] 【注意喚起】Java SE JDK及びJREの脆弱性について(2020年10月)
  - From: MIZUMOTO, Akinori(GakuNin)

Prev by Date: [upki-fed:01367] 【注意喚起】Apache Tomcatの脆弱性について(2020/10/12付アドバイザリ)
Next by Date: [upki-fed:01369] 【重要】学認サービスの一部停止について（2020/12/11(金) 8:30 - 2020/12/14(月) 18:00）
Previous by thread: [upki-fed:01366] 【注意喚起】Java SE JDK及びJREの脆弱性について(2020年10月)
Next by thread: [upki-fed:01367] 【注意喚起】Apache Tomcatの脆弱性について(2020/10/12付アドバイザリ)
Index(es):
- Date
- Thread