デンマークのSecuniaが現地時間11月29日に,米Sun MicrosystemsのJava開発キット「Java Development Kit(JDK)」,Java実行環境「Java Runtime Environment(JRE)」,Javaソフトウエア開発キット「Java Software Development Kit(SDK)」において,システムへの不正なリモート・アクセスを見逃すぜい弱性が複数存在すると警告した。Secunia社は危険度を「高」としている。

 Secunia社によると,ぜい弱性が存在するバージョンは以下の通り。

・Sun Java JDK 1.5.x
・Sun Java JRE 1.3.x
・Sun Java JRE 1.4.x
・Sun Java JRE 1.5.x/5.x
・Sun Java SDK 1.3.x
・Sun Java SDK 1.4.x

 このぜい弱性を悪用すると,アプレットを使ってローカル環境にあるファイルを読み書きしたり,ローカル環境にあるアプリケーションを実行したりできる。大きく分けて3種類あり,概要と該当バージョンは以下の通り。

・unspecified error(不明なエラー)を悪用する。Windows/Solaris/Linux用のJDK/JRE 5.0 Update 3までのバージョンに存在する

・Reflection APIのエラーを悪用するぜい弱性が3個ある。Windows/Solaris/Linux用のSDK/JRE 1.3.1_15まで,SDK/JRE 1.4.2_08まで,JDK/JRE 5.0 Update 3までのバージョンが関係する

・Java Management Extensions(JMX)内のunspecified errorを悪用する。Windows/Solaris/Linux用のJDK/JRE 5.0 Update 3までのバージョンに存在する

 既にSun社は,これらぜい弱性を修正したバージョンをWebサイトで公開している。

・JDK/JRE 5.0:
JDK/JRE 5.0 Update 4以上へのアップデートを推奨する(ダウンロード・サイト

・SDK/JRE 1.4.x:
SDK/JRE 1.4.2_09以上へのアップデートを推奨する(ダウンロード・サイト

・SDK/JRE 1.3.x:
SDK/JRE 1.3.1_16以上へのアップデートを推奨する(ダウンロード・サイト

 また同ぜい弱性に関するSun社の公開情報は以下のサイトで入手できる。

http://sunsolve.sun.com/search/document.do?assetkey=1-26-102050-1
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102003-1
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102017-1

◎関連記事
Ajax,Flash,Java---オープンソースで実現するリッチクライアント 第1回
人に聞けないJavaの常識(1)
「セキュリティの観点からも.NETで開発すべき」――米Microsoftの開発部門担当副社長が語る
「参加の時代」到来を訴えるSun,Java技術はオープンソースが主導へ
「Java開発者はオープンソース・ソフトを信頼し,積極的に利用している」,米調査より
米Oracle,Java開発ツール「JDeveloper 10 g」のライセンスを無料化
「Eclipse RCP 3.1」が公開,「Eclipse Platform 3.1」は今週中にリリース
Javaを脅かすPHP,大手テクノロジ企業が続々支持

[発表資料へ]