カテゴリー: セキュリティ情報

「お知らせ」に掲載するセキュリティ情報です(アプリケーションの脆弱性など)。

複数の Adobe 製品に脆弱性

最終更新日: 2020/01/22

情報源

US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2020/01/14/adobe-releases-security-updates

概要

複数の Adobe 製品には、脆弱性があります。結果として、第三者が情報を窃取したり、実行ユーザの権限で任意のコードを実行したりする可能性があります。
対象となる製品およびバージョンは次のとおりです。

– Adobe Experience Manager 6.5、6.4、6.3
– Adobe Illustrator CC 2019 24.0 およびそれ以前のバージョン (Windows)

なお、既にコアサポート期間が終了している Adobe Experience Manager 6.2、6.1、6.0 も本脆弱性の影響を受けるとのことです。該当のバージョンを使用している場合は、サポート対象のバージョンをご使用ください。
この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新することで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC CyberNewsFlash
複数の Adobe 製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2020011501.html

Adobe

Adobe Experience Manager に関するセキュリティアップデート公開 | APSB20-01
https://helpx.adobe.com/jp/security/products/experience-manager/apsb20-01.html

Adobe

Adobe Illustrator CC に関するセキュリティアップデート公開 | APSB20-03
https://helpx.adobe.com/jp/security/products/illustrator/apsb20-03.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-01-22」
https://www.jpcert.or.jp/wr/2020/wr200301.html

 

複数の Microsoft 製品に脆弱性

最終更新日: 2020/01/22

情報源

US-CERT Current Activity
Microsoft Releases January 2020 Security Updates
https://www.us-cert.gov/ncas/current-activity/2020/01/14/microsoft-releases-january-2020-security-updates

US-CERT Current Activity

Microsoft Releases Security Advisory on Internet Explorer Vulnerability
https://www.us-cert.gov/ncas/current-activity/2020/01/17/microsoft-releases-security-advisory-internet-explorer

概要

複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。
対象となる製品は次のとおりです。

– Microsoft Windows
– Internet Explorer
– Microsoft Office、Microsoft Office Services および Web Apps
– ASP.NET Core
– .NET Core
– .NET Framework
– OneDrive for Android
– Microsoft Dynamics

この問題は、Microsoft Update などを用いて、更新プログラムを適用することで解決します。なお、2020年1月17日 (米国時間) に公開された Microsoft Internet Explorer の脆弱性 (CVE-2020-0674) については、2020年1月21日時点で、解決策は提供されていません。Microsoft が提供する情報を参照し、回避策の適用や別の Web ブラウザの使用を検討してください。詳細は、Microsoft が提供する情報を参照してください。

関連文書 (日本語)

マイクロソフト株式会社
2020 年 1 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/2020-Jan

JPCERT/CC 注意喚起

2020年1月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2020/at200001.html

JPCERT/CC 注意喚起

Microsoft Internet Explorer の未修正の脆弱性 (CVE-2020-0674) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200004.html

関連文書(英語)

マイクロソフト株式会社

ADV200001 | Microsoft Guidance on Scripting Engine Memory Corruption Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200001

CERT/CC Vulnerability Note VU#338824

Microsoft Internet Explorer Scripting Engine memory corruption vulnerability
https://kb.cert.org/vuls/id/338824/

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-01-22」
https://www.jpcert.or.jp/wr/2020/wr200301.html

 

Microsoft Internet Explorer の未修正の脆弱性 (CVE-2020-0674) に関する注意喚起

 JPCERT/CCからの「Microsoft Internet Explorer の未修正の脆弱性 (CVE-2020-0674) に関する注意喚起」をお知らせします。
各位
JPCERT-AT-2020-0004
JPCERT/CC
2020-01-19
<<< JPCERT/CC Alert 2020-01-19 >>>
Microsoft Internet Explorer の未修正の脆弱性 (CVE-2020-0674) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200004.html

I.概要

2020年1月17日 (米国時間)、マイクロソフトから Microsoft Internet Explorerの脆弱性 (CVE-2020-0674) に関する情報が公開されました。脆弱性を悪用された場合、リモートからの攻撃によって任意のコードが実行される恐れがあります。
マイクロソフトによると、本脆弱性の悪用を確認しているとのことです。

Microsoft

ADV200001 | Microsoft Guidance on Scripting Engine Memory Corruption Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200001

また、本脆弱性の悪用を目的とし、第三者がユーザを悪意のあるサイトへ接続させたり、加工した Microsoft Office 文書などを実行させたりする攻撃が行われる可能性があります。対策や回避策を適用するまでは、不審なサイトへの接続やファイルの実行をしないよう、普段以上に注意を高めることを推奨します。

II.対象

対象となる製品とバージョンは次のとおりです。

– Microsoft Internet Explorer 9

– Microsoft Internet Explorer 10
– Microsoft Internet Explorer 11

III.対策

2020年1月19日 (日本時間) 時点で、本脆弱性への対策は提供されていません。
「IV. 回避策」の適用をするか、別の Web ブラウザの使用を検討してください。

なお、マイクロソフトは既に本脆弱性の修正を進めており、月次セキュリティ更新プログラムのタイミングなどで、本脆弱性の修正を含む更新プログラムを提供予定とのことです。マイクロソフトが提供する情報を確認し、修正されたバージョンが公開された場合、速やかに適用することを推奨します。

IV. 回避策

マイクロソフトより、本脆弱性の回避策が公開されています。マイクロソフトによると本脆弱性は、JScript のスクリプトエンジンにおけるメモリ破損の脆弱性に関するものであり、jscript.dll へのアクセス権限を制限することで、脆弱性の影響を回避することができるとのことです。
IE11、IE10、IE9 は、本脆弱性の影響を受けないjscript9.dll がデフォルトで使用されますが、古いバージョンの JScript をサポートするために jscript.dllが提供されています。回避策を実施することで、jscript.dll の使用を制限すると、古いバージョンの JScript を使用する Web サイトや文書ファイルの閲覧に影響が生じる可能性が考えられます。回避策の適用にあたっては、十分に影響範囲を考慮の上、実施してください。

V. 参考情報

Microsoft
ADV200001 | Microsoft Guidance on Scripting Engine Memory Corruption Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200001

US-CERT

Microsoft Releases Security Advisory on Internet Explorer Vulnerability
https://www.us-cert.gov/ncas/current-activity/2020/01/17/microsoft-releases-security-advisory-internet-explorer

CERT/CC Vulnerability Note VU#338824

Microsoft Internet Explorer Scripting Engine memory corruption vulnerability
https://kb.cert.org/vuls/id/338824/

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

一般社団法人 JPCERT コーディネーションセンター 早期警戒グループ
TEL:03-6811-0610 MAIL:

複数の Citrix 製品の脆弱性 (CVE-2019-19781) に関する注意喚起

 JPCERT/CCからの「複数の Citrix 製品の脆弱性 (CVE-2019-19781) に関する注意喚起」をお知らせします。
各位
JPCERT-AT-2020-0003
JPCERT/CC
2020-01-17
<<< JPCERT/CC Alert 2020-01-17 >>>
複数の Citrix 製品の脆弱性 (CVE-2019-19781) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200003.html

I.概要

JPCERT/CC では、Citrix Application Delivery Controller および Citrix Gatewayの脆弱性 (CVE-2019-19781) について、脆弱性に対する実証コードなどの詳細な情報が公表されていることを確認しています。本脆弱性を悪用された場合、遠隔の第三者が任意のコードを実行する可能性があります。

本脆弱性について、Bad Packets 社より 2020年1月12日 (現地時間) に、脆弱性の悪用を狙ったとみられるスキャンを確認したとの情報が公開されました。
Bad Packets

Over 25,000 Citrix (NetScaler) endpoints vulnerable to CVE-2019-19781
https://badpackets.net/over-25000-citrix-netscaler-endpoints-vulnerable-to-cve-2019-19781/

JPCERT/CC は、本脆弱性の悪用を目的とすると思われる通信をセンサで観測しており、日本国内でも本脆弱性を悪用したと思われる攻撃が既に行われていることを確認しています。また、JPCERT/CC では、海外の組織などから届けられた情報に基づき、対象の製品を使用しているとみられる組織に通知を行っています。対象の製品を使用している場合、早急に対策を実施することを推奨します。

II.対象

本脆弱性の対象となる製品およびバージョンは次のとおりです。

– Citrix ADC および Citrix Gateway version 13.0

– Citrix ADC および NetScaler Gateway version 12.1
– Citrix ADC および NetScaler Gateway version 12.0
– Citrix ADC および NetScaler Gateway version 11.1
– Citrix NetScaler ADC および NetScaler Gateway version 10.5
– Citrix SD-WAN WANOP software および appliance model 4000
– Citrix SD-WAN WANOP software および appliance model 4100
– Citrix SD-WAN WANOP software および appliance model 5000
– Citrix SD-WAN WANOP software および appliance model 5100

III.侵害有無の確認

本脆弱性の侵害有無を確認する方法は次のとおりです。

(1) 機器に対して不審な IP アドレスからのアクセスがないか確認する
– 機器に対する HTTP 通信のログは httpaccess.log や httperror.log に記録されるとのことです。
(2) 機器のログに脆弱性を悪用する通信が記録されていないか確認する
– 本脆弱性を悪用する実証コードを実行した場合、以下のような文字列を含む通信が機器に対して行われます。
/vpns/

/vpn/../vpns/cfg/smb.conf
/vpn/../vpns/portal/scripts/newbm.pl
/vpn/../vpns/portal/backdoor.xml
/vpns/portal/scripts/newbm.pl

(3) 機器の下記ディレクトリ配下のファイルを確認する
– 最近作成された、心当たりのない xml ファイルが存在する場合、当該ファイルは攻撃者により作成された悪意のあるファイルで、既に当該機器を悪用する攻撃が行われた可能性があります。
/var/tmp/netscaler/portal/templates

/netscaler/portal/templates

(4) 機器のプロセスや cron job を確認する
– 機器で次のようなコマンドを実行し、「nobody」というユーザにより稼働しているプロセスや cron job がないか確認する。
– 本脆弱性が悪用されると、「nobody」というユーザによりプロセスなどが実行されるため、こうしたプロセスなどが稼働している場合は既に当該機器を悪用する攻撃が行われた可能性があります。

IV. 対策

2020年1月17日現在、Citrix 社から修正済みのバージョンは提供されていません。
「V. 緩和策」の実施、または当該製品の使用停止を検討してください。

また Citrix 社によると、下記日程で修正バージョンを提供予定とのことです。
 - 2020年1月20日(米国時間)

– Citrix ADC および NetScaler Gateway version 12.0
– Citrix ADC および NetScaler Gateway version 11.1

 - 2020年1月27日(米国時間)

– Citrix ADC および Citrix Gateway version 13.0
– Citrix ADC および NetScaler Gateway version 12.1
– Citrix SD-WAN WANOP software および appliance model 4000
– Citrix SD-WAN WANOP software および appliance model 4100
– Citrix SD-WAN WANOP software および appliance model 5000
– Citrix SD-WAN WANOP software および appliance model 5100

 - 2020年1月31日(米国時間)

– Citrix NetScaler ADC および NetScaler Gateway version 10.5

V. 緩和策

次の緩和策の実施を検討してください。

– ファイアウォール等による不要な通信の制限

– Citrix 社が公開している設定変更の適用

Citrix

Mitigation Steps for CVE-2019-19781
https://support.citrix.com/article/CTX267679

※Citrix 社の情報によると、Citrix ADC version 12.1 ビルド 51.16,51.19および 50.31 より前のビルドには不具合があり、緩和策の設定が適用されないとのことです。緩和策を適切に適用するために、本不具合の影響を受けないビルドに更新することを推奨します。

VI. 参考情報

Citrix
CVE-2019-19781 – Vulnerability in Citrix Application Delivery Controller, Citrix Gateway, and Citrix SD-WAN WANOP appliance
https://support.citrix.com/article/CTX267027

Japan Vulnerability Notes JVNVU#92281641

Citrix Application Delivery Controller および Citrix Gateway web server における任意のコード実行が可能な脆弱性
https://jvn.jp/vu/JVNVU92281641/

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

一般社団法人 JPCERT コーディネーションセンター 早期警戒グループ
TEL:03-6811-0610 MAIL:

複数の Juniper 製品に脆弱性

最終更新日: 2020/01/16

情報源

US-CERT Current Activity
Juniper Networks Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2020/01/09/juniper-networks-releases-security-updates

概要

複数の Juniper 製品には、脆弱性があります。結果として、遠隔の第三者が、任意のコマンドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があります。
対象となる製品は次のとおりです。

– Junos OS
– SBR Carrier
– Contrail Networking
– Junos Space

この問題は、該当する製品を Juniper が提供する修正済みのバージョンに更新することで解決します。詳細は、Juniper が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVN#07375820
Junos OS におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN07375820/

Japan Vulnerability Notes JVN#21753370

Junos OS におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN21753370/

関連文書(英語)

Juniper Networks

Security Advisories
https://kb.juniper.net/InfoCenter/index?page=content&channel=SECURITY_ADVISORIES

Juniper Networks

2020-01 Security Bulletin: Junos OS: A specific SNMP command can trigger a high CPU usage Denial of Service in the RPD daemon. (CVE-2020-1600)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10979

Juniper Networks

2020-01 Security Bulletin: Junos OS: Upon receipt of certain types of malformed PCEP packets the pccd process may crash. (CVE-2020-1601)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10980

Juniper Networks

2020-01 Security Bulletin: Junos OS and Junos OS Evolved: Multiple vulnerabilities in JDHCPD allow for OS command injection and code execution of JDHCPD.
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10981

Juniper Networks

2020-01 Security Bulletin: Junos OS: Improper handling of specific IPv6 packets sent by clients eventually kernel crash (vmcore) the device. (CVE-2020-1603)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10982

Juniper Networks

2020-01 Security Bulletin: Junos OS: EX4300/EX4600/QFX3500/QFX5100 Series: Stateless IP firewall filter may fail to evaluate certain packets (CVE-2020-1604)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10983

Juniper Networks

2020-01 Security Bulletin: Junos OS: Path traversal vulnerability in J-Web (CVE-2020-1606)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10985

Juniper Networks

2020-01 Security Bulletin: Junos OS: Cross-Site Scripting (XSS) in J-Web (CVE-2020-1607)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10986

Juniper Networks

2020-01 Security Bulletin: Junos OS: MX Series: In BBE configurations, receipt of a specific MPLS or IPv6 packet causes a Denial of Service (CVE-2020-1608)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10987

Juniper Networks

2020-01 Security Bulletin: SBR Carrier: Multiple Vulnerabilities in OpenSSL
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10990

Juniper Networks

2020-01 Security Bulletin: SBR Carrier: Multiple Vulnerabilities in Net-SNMP
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10991

Juniper Networks

2020-01 Security Bulletin: Contrail Networking: Multiple Vulnerabilities have been resolved in release R1912
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10992

Juniper Networks

2020-01 Security Bulletin: Junos Space: Multiple vulnerabilities resolved in 19.4R1 release.
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10993

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-01-16」
https://www.jpcert.or.jp/wr/2020/wr200201.html

 

複数の Cisco 製品に脆弱性

最終更新日: 2020/01/16

情報源

US-CERT Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2020/01/09/cisco-releases-security-updates-multiple-products

概要

複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が任意のコマンドを実行するなどの可能性があります。
影響度 High の脆弱性情報に記載されている製品は次のとおりです。

– Cisco Webex Video Mesh Software
– Cisco IOS Software
– Cisco IOS XE Software

※製品によって、影響を受ける条件が異なります。また、上記製品以外にも、影響度 Medium の複数の脆弱性情報が公開されています。詳細は、Cisco が提供する情報を参照してください。
この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書(英語)

Cisco Security Advisory

Cisco Webex Video Mesh Node Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200108-webex-video

Cisco Security Advisory

Cisco IOS and Cisco IOS XE Software Web UI Cross-Site Request Forgery Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200108-ios-csrf

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-01-16」
https://www.jpcert.or.jp/wr/2020/wr200201.html

 

Google Chrome に解放済みメモリ使用 (use-after-free) の脆弱性

最終更新日: 2020/01/16

情報源

US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2020/01/08/google-releases-security-updates-chrome

概要

Google Chrome には、解放済みメモリの使用が可能な脆弱性があります。結果として、遠隔の第三者が任意のコードを実行する可能性があります。
対象となるバージョンは次のとおりです。

– Google Chrome 79.0.3945.117 より前のバージョン (Windows, Mac, Linux)

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更新することで解決します。詳細は、Google が提供する情報を参照してください。

関連文書(英語)

Google

Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/01/stable-channel-update-for-desktop.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-01-16」
https://www.jpcert.or.jp/wr/2020/wr200201.html

 

複数の Citrix 製品に脆弱性

最終更新日: 2020/01/16

情報源

CERT/CC Vulnerability Note VU#619785
Citrix Application Delivery Controller and Citrix Gateway web server vulnerability
https://www.kb.cert.org/vuls/id/619785/

概要

複数の Citrix 製品には、脆弱性があります。結果として、遠隔の第三者が認証無しで任意のコードを実行する可能性があります。
対象となる製品は次のとおりです。

– Citrix Application Delivery Controller
– Citrix Gateway
– NetScaler Application Delivery Controller
– NetScaler Gateway

2020年1月15日現在、この問題に対する修正済みのバージョンは提供されていません。Citrix が本脆弱性に関する回避策のページを公開しています。またCitrix によると、2020年1月下旬に修正バージョンを提供予定とのことです。
詳細は、Citrix の情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#92281641
Citrix Application Delivery Controller および Citrix Gateway web server における任意のコード実行が可能な脆弱性
https://jvn.jp/vu/JVNVU92281641/

関連文書(英語)

Citrix Systems, Inc.

CVE-2019-19781 – Vulnerability in Citrix Application Delivery Controller and Citrix Gateway
https://support.citrix.com/article/CTX267027

Citrix Systems, Inc.

Mitigation Steps for CVE-2019-19781
https://support.citrix.com/article/CTX267679

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-01-16」
https://www.jpcert.or.jp/wr/2020/wr200201.html

 

複数の Mozilla 製品に脆弱性

最終更新日: 2020/01/16

情報源

US-CERT Current Activity
Mozilla Releases Security Updates for Firefox and Firefox ESR
https://www.us-cert.gov/ncas/current-activity/2020/01/08/mozilla-releases-security-updates-firefox-and-firefox-esr

US-CERT Current Activity

Mozilla Patches Critical Vulnerability
https://www.us-cert.gov/ncas/current-activity/2020/01/08/mozilla-patches-critical-vulnerability

概要

複数の Mozilla 製品には、脆弱性があります。 結果として、遠隔の第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。
対象となる製品およびバージョンは次のとおりです。

– Mozilla Firefox 72.0.1 より前のバージョン
– Mozilla Firefox ESR 68.4.1 より前のバージョン
– Mozilla Thunderbird 68.4.1 より前のバージョン

この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更新することで解決します。詳細は、Mozilla が提供する情報を参照してください。

関連文書(英語)

Mozilla

Security Vulnerabilities fixed in Firefox 72
https://www.mozilla.org/en-US/security/advisories/mfsa2020-01

Mozilla

Security Vulnerabilities fixed in Firefox ESR 68.4
https://www.mozilla.org/en-US/security/advisories/mfsa2020-02

Mozilla

Security Vulnerabilities fixed in Firefox 72.0.1 and Firefox ESR 68.4.1
https://www.mozilla.org/en-US/security/advisories/mfsa2020-03

Mozilla

Security Vulnerabilities fixed in Thunderbird 68.4.1
https://www.mozilla.org/en-US/security/advisories/mfsa2020-04

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-01-16」
https://www.jpcert.or.jp/wr/2020/wr200201.html

 

2020年1月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起

 JPCERT/CCからの「2020年1月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起」をお知らせします。
各位
JPCERT-AT-2020-0002
JPCERT/CC
2020-01-15
<<< JPCERT/CC Alert 2020-01-15 >>>
2020年1月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2020/at200002.html

I.概要

2020年1月14日(現地時間)、Oracle は、複数の製品に対するクリティカルパッチアップデートに関する情報を公開しました。

Oracle Critical Patch Update Advisory – January 2020

https://www.oracle.com/security-alerts/cpujan2020.html

脆弱性が悪用された場合、リモートからの攻撃によって、サービス運用妨害 (DoS) 攻撃が行われたり、不正な操作が実行されたりする可能性があります。対象となる製品を利用している場合には、アップデートの適用等を検討してください。

II.対象

対象として、次の製品およびバージョンが含まれています。

– Java SE JDK/JRE 13.0.1

– Java SE JDK/JRE 11.0.5
– Java SE JDK/JRE 8u241(1.8.0_241-b07) より前のバージョン
– Java SE JDK/JRE 8u231
– Java SE JDK/JRE 7u251(1.7.0_251-b08) より前のバージョン
– Oracle Database Server 212.2.0.1
– Oracle Database Server 29
– Oracle Database Server 19c
– Oracle Database Server 18c
– Oracle Database Server 12.2.0.1
– Oracle Database Server 12.1.0.11
– Oracle Database Server 12.1.0.2
– Oracle Database Server 11.2.0.4
– Oracle WebLogic Server 12.2.1.4.0
– Oracle WebLogic Server 12.2.1.3.0
– Oracle WebLogic Server 12.1.3.0.0
– Oracle WebLogic Server 10.3.6.0.0

ただし、その他の対象となる製品およびバージョンは多岐に渡るため、正確な情報は Oracle の情報を参照してください。
また、PC に Java JRE がプリインストールされている場合や、サーバで使用するソフトウエア製品に、WebLogic Server を使用している場合もあります。
利用中の PC やサーバに対象となる製品が含まれていないかについても、確認してください。

III.対策

Oracle からそれぞれの製品に対して、修正済みソフトウエアが公開されています。Java SE、Oracle Database および WebLogic では、次のバージョンが公開されています。

– Java SE JDK/JRE 13.0.2

– Java SE JDK/JRE 11.0.6
– Java SE JDK/JRE 8u241(1.8.0_241-b07)
– Java SE JDK/JRE 7u251(1.7.0_251-b08)
– Oracle Database Server ※
– Oracle WebLogic Server ※

※ 2020年1月15日現在、公開情報から対策が施されたパッチに関する情報は確認できませんでした。詳細は Oracle 等に確認してください。
製品をアップデートした場合、対象製品を利用する他のアプリケーションが正常に動作しなくなる可能性があります。利用するアプリケーションへの影響を考慮した上で、更新してください。
Java SE Downloads

https://www.oracle.com/technetwork/java/javase/downloads/index.html

無料Javaのダウンロード

https://java.com/ja/download/

また、32bit 版 JDK/JRE、64bit 版 JDK/JRE のいずれか、または両方がインストールされている場合がありますので、利用している JDK/JRE をご確認の上、修正済みソフトウエアを適用してください。
お使いの Java のバージョンは次のページで確認可能です。32bit 版、64bit 版の両方の Java をインストールしている場合は、それぞれ 32bit 版、64bit 版のブラウザでバージョンを確認してください。(Java がインストールされていない環境では、Java のインストールが要求される可能性があります。不要な場合は、インストールしないように注意してください。)
Javaの確認および最新でないバージョンの検索

https://www.java.com/ja/download/installed.jsp

IV. 参考情報

Oracle Corporation
Oracle Critical Patch Update Advisory – January 2020
https://www.oracle.com/security-alerts/cpujan2020.html

Oracle Corporation

Listing of Java Development Kit 13 Release Notes
https://www.oracle.com/technetwork/java/javase/documentation/13u-relnotes-5461742.html

Oracle Corporation

Java Development Kit 11 Release Notes
https://www.oracle.com/technetwork/java/javase/11u-relnotes-5093844.html

Oracle Corporation

Java Development Kit 8 Update Release Notes
https://www.oracle.com/technetwork/java/javase/8u-relnotes-2225394.html

Oracle Corporation

Java SE 7 Advanced and Java SE 7 Support (formerly known as Java for Business 7)
https://www.oracle.com/technetwork/java/javase/documentation/javase7supportreleasenotes-1601161.html

Oracle Corporation

January 2020 Critical Patch Update Released
https://blogs.oracle.com/security/january-2020-critical-patch-update-released

日本オラクル株式会社

Oracle Java SE サポート・ロードマップ
https://www.oracle.com/technetwork/jp/java/eol-135779-ja.html

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL:
TEL:03-6811-0610 FAX: 03-6271-8908
https://www.jpcert.or.jp/