2017年 7月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起

　JPCERT/CCからの「2017年 7月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起」をお知らせします。

各位

JPCERT-AT-2017-0029
JPCERT/CC
2017-01-18

<<< JPCERT/CC Alert 2017-07-19 >>>
2017年 7月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2017/at170029.html

I.概要

Oracle の Java SE JDK および JRE には、複数の脆弱性があります。脆弱性を悪用された場合、リモートからの攻撃によって Java が不正終了したり、任意のコードが実行されたりする恐れがあります。脆弱性の詳細については、Oracle の情報を確認してください。

Oracle が提供する修正済みソフトウエアへアップデートすることをお勧めします。

Oracle Critical Patch Update Advisory – July 2017
http://www.oracle.com/technetwork/security-advisory/cpujul2017-3236622.html

II.対象

対象となる製品とバージョンは以下の通りです。

– Java SE JDK/JRE 8 Update 131 およびそれ以前

※ Oracle によると既に公式アップデートを終了している Java SE JDK/JRE 6 および 7 も脆弱性の影響を受けるとのことです。

※ 一部メーカー製 PC では、JRE がプリインストールされている場合があります。念のため、利用中の PC に JRE がインストールされているかどうかを確認してください。

III.対策

Oracle から修正済みソフトウエアが公開されています。次の修正済みソフトウエアへアップデートを行ってください。

– Java SE JDK/JRE 8 Update 141

Java SE Downloads
http://www.oracle.com/technetwork/java/javase/downloads/index.html

無料 Java のダウンロード

https://java.com/ja/download/

なお、Oracle によると、前回のパッチアップデートから MD5 で署名されたJAR ファイルは、Oracle JRE 環境下においてデフォルトで動作しなくなるとのことです。MD5 で署名された JAR ファイルをお使いの場合、よりセキュアなアルゴリズムに移行することをお勧めします。
詳細は、次の URL を参照してください。

Oracle JRE will no longer trust MD5-signed code by default
https://blogs.oracle.com/java-platform-group/entry/oracle_jre_will_no_longer

Oracle JRE and JDK Cryptographic Roadmap

https://www.java.com/en/jre-jdk-cryptoroadmap.html

また、64bit 版 Windows を使用している場合、32bit 版 JDK/JRE、64bit 版JDK/JRE のいずれか、または両方がインストールされている場合がありますので、利用している JDK/JRE をご確認の上、修正済みソフトウエアを適用してください。

お使いの Java のバージョンは次のページで確認可能です。なお、32bit 版、64bit 版の両方の Java をインストールしている場合は、それぞれ 32bit 版、64bit 版のブラウザでバージョンを確認してください。(Java がインストールされていない環境では、Java のインストールが要求される可能性があります。不要な場合は、インストールしないように注意してください。)

Java のバージョンの確認

https://www.java.com/ja/download/installed.jsp

※ Java を最新に更新した場合、一部の Java 上で動作するアプリケーションが動作しなくなる可能性があります。利用するアプリケーションへの影響を考慮した上で、更新してください。

IV.参考情報

Oracle Corporation
Oracle Critical Patch Update Advisory – July 2017
http://www.oracle.com/technetwork/security-advisory/cpujul2017-3236622.html

Oracle Corporation

Release Notes for JDK 8 and JDK 8 Update Releases
http://www.oracle.com/technetwork/java/javase/8all-relnotes-2226344.html

Oracle Corporation

Oracle Critical Patch Update for July 2017 Released
https://blogs.oracle.com/portalsproactive/oracle-critical-patch-update-for-july-2017-released

日本オラクル株式会社

Oracle Java SEサポート・ロードマップ
http://www.oracle.com/technetwork/jp/java/eol-135779-ja.html

US-CERT

Oracle Releases Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2017/07/18/Oracle-Releases-Security-Bulletin

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL:
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/