デンマークのSecuniaが現地時間11月29日に,米Sun MicrosystemsのJava開発キット「Java Development Kit(JDK)」,Java実行環境「Java Runtime Environment(JRE)」,Javaソフトウエア開発キット「Java Software Development Kit(SDK)」において,システムへの不正なリモート・アクセスを見逃すぜい弱性が複数存在すると警告した。Secunia社は危険度を「高」としている。
Secunia社によると,ぜい弱性が存在するバージョンは以下の通り。
・Sun Java JDK 1.5.x
・Sun Java JRE 1.3.x
・Sun Java JRE 1.4.x
・Sun Java JRE 1.5.x/5.x
・Sun Java SDK 1.3.x
・Sun Java SDK 1.4.x
このぜい弱性を悪用すると,アプレットを使ってローカル環境にあるファイルを読み書きしたり,ローカル環境にあるアプリケーションを実行したりできる。大きく分けて3種類あり,概要と該当バージョンは以下の通り。
・unspecified error(不明なエラー)を悪用する。Windows/Solaris/Linux用のJDK/JRE 5.0 Update 3までのバージョンに存在する
・Reflection APIのエラーを悪用するぜい弱性が3個ある。Windows/Solaris/Linux用のSDK/JRE 1.3.1_15まで,SDK/JRE 1.4.2_08まで,JDK/JRE 5.0 Update 3までのバージョンが関係する
・Java Management Extensions(JMX)内のunspecified errorを悪用する。Windows/Solaris/Linux用のJDK/JRE 5.0 Update 3までのバージョンに存在する
既にSun社は,これらぜい弱性を修正したバージョンをWebサイトで公開している。
・JDK/JRE 5.0:
JDK/JRE 5.0 Update 4以上へのアップデートを推奨する(ダウンロード・サイト)
・SDK/JRE 1.4.x:
SDK/JRE 1.4.2_09以上へのアップデートを推奨する(ダウンロード・サイト)
・SDK/JRE 1.3.x:
SDK/JRE 1.3.1_16以上へのアップデートを推奨する(ダウンロード・サイト)
また同ぜい弱性に関するSun社の公開情報は以下のサイトで入手できる。
・http://sunsolve.sun.com/search/document.do?assetkey=1-26-102050-1
・http://sunsolve.sun.com/search/document.do?assetkey=1-26-102003-1
・http://sunsolve.sun.com/search/document.do?assetkey=1-26-102017-1
◎関連記事
■Ajax,Flash,Java---オープンソースで実現するリッチクライアント 第1回
■人に聞けないJavaの常識(1)
■「セキュリティの観点からも.NETで開発すべき」――米Microsoftの開発部門担当副社長が語る
■「参加の時代」到来を訴えるSun,Java技術はオープンソースが主導へ
■「Java開発者はオープンソース・ソフトを信頼し,積極的に利用している」,米調査より
■米Oracle,Java開発ツール「JDeveloper 10 g」のライセンスを無料化
■「Eclipse RCP 3.1」が公開,「Eclipse Platform 3.1」は今週中にリリース
■Javaを脅かすPHP,大手テクノロジ企業が続々支持
[発表資料へ]