Oracle Javaのセキュリティ更新プログラム公開、IPAがアップデート呼びかけ
マイナビニュース / 2024年10月21日 9時11分
情報処理推進機構(IPA)はこのほど、OracleがJavaアプリケーションの開発および実行環境「Java SE」のセキュリティ更新プログラムをリリースしたと伝えた。これは四半期ごとに提供されている「Critical Patch Update」の一部としてリリースされたもので、8件の脆弱性の修正が含まれている。
○アップデート対象のプロダクト
今回、Oracleがリリースしたプロダクトおよびバージョンは以下のとおり。
Oracle Java SE 23
Oracle Java SE 21.0.4
Oracle Java SE 17.0.12
Oracle Java SE 11.0.24
Oracle Java SE 8 Update 421-perf
Oracle Java SE 8 Update 421
Oracle GraalVM Enterprise Edition 21.3.12
Oracle GraalVM Enterprise Edition 20.3.16
これらはオープンソースで開発されている「OpenJDK」をベースとしたJava開発・実行環境だが、Oracle Java SEがOpenJDKとほぼ同一の機能にサポートが付いているのに対し、Oracle GraalVMはOpenJDKをベースに独自のJava仮想マシンを搭載して提供されている点が大きく異なる。IPAの注意喚起にはOracle Java SEのバージョンのみ掲載されているが、Oracle GraalVMにも同じ脆弱性が含まれる可能性があるので注意が必要。
○修正された脆弱性
今回のアップデートでは、次の8件の脆弱性が修正されている。
CVE-2024-36138
CVE-2023-42950
CVE-2024-25062
CVE-2024-21235
CVE-2024-21210
CVE-2024-21211
CVE-2024-21208
CVE-2024-21217
このうち、CVE-2024-36138はOracle GraalVMのみが、CVE-2024-21210はOracle JavaSEのみが影響を受ける。その他の6件はGraalVMとJavaSEの両方に影響する。
特に深刻度が大きいのはCVE-2024-36138で、CVSSv3のベーススコアは8.1とされている。この脆弱性はGraalVMが利用しているNode.jsのコードに由来する。Node.jsでは以前に通称「BatBadBut」と呼ばれるコマンド・インジェクションの脆弱性(CVE-2024-27980)が発見され、その修正版がリリースされた。しかし修正が不十分であったことから、対策を回避して攻撃することが可能だった。今回のアップデートはその不十分な対策を修正したものになる。
それぞれの脆弱性と影響を受けるプロダクトおよびバージョンについては、Oracleによる次のページにまとめられている。
Oracle Java SE Risk Matrix | Oracle Critical Patch Update Advisory - October 2024
なお、Oracle JavaSEに影響を与える(CVE-2024-36138以外の)7件の脆弱性はベースとなっているOpenJDKに含まれるものであるため、Oralce JavaSE以外のOpenJDKベースのJavaディストリビューションも影響を受ける可能性がある。
IPAは、上記のセキュリティ情報をチェックするとともに、必要に応じてアップデートを適用することを推奨している。
(杉山貴章)
外部リンク
この記事に関連するニュース
-
IPA、2025年のWindows 10のサポート終了に向けて注意喚起
マイナビニュース / 2024年10月18日 10時7分
-
Windowsの「パスキー」について発表 利便性が向上/Wordで保存後にファイルが削除される不具合発生
ITmedia PC USER / 2024年10月13日 6時5分
-
Microsoftが10月の更新プログラム公開、117件中2件の脆弱性は悪用確認済み
マイナビニュース / 2024年10月9日 17時45分
-
iPhoneとiPadにパスワード読み上げ引き起こす脆弱性、アップデートを
マイナビニュース / 2024年10月9日 9時24分
-
DrayTek製ルータに緊急の脆弱性、アップデートを
マイナビニュース / 2024年10月4日 9時28分
ランキング
-
1「サイゼリヤ」をイタリアンシェフとソムリエが本気ジャッジ→1番に選んだのは…… まさかのスイーツに「予想してなかった」「参考になる!」
ねとらぼ / 2024年10月20日 20時30分
-
2ネット未接続の“隔離PC”へのハッキングの歴史 エアギャップPCから機密データを盗む6つの方法
ITmedia NEWS / 2024年10月21日 8時5分
-
3あれっ進化した? iOSの「マップ」アプリを「Googleマップ」と比較!
&GP / 2024年10月20日 19時0分
-
4「なんだこれ?!」 食パンが“まさかの料理”に変身! ローソン公式の「仰天レシピ」が53万表示 「明日作る」
ねとらぼ / 2024年10月20日 16時0分
-
5会話中の“スマホいじり”、結婚生活に悪影響 トルコの研究者らが23年に発表 既婚者700人に調査
ITmedia NEWS / 2024年10月21日 8時5分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください