[upki-fed:01042] 【注意喚起】OpenJDKおよびOracle Javaの脆弱性について(2016/4/22)

[学認事務局 末永 <xxxxxxxxxxxxxx@xxxxxxxxx>]

学認情報交換ML　参加者各位
学認各IdP / SP運用ご担当者各位

　国立情報学研究所　学認事務局の末永です。
平素より学認の運営にご協力を賜り，ありがとうございます。


OpenJDKおよびOracle Javaに複数の脆弱性があり、脆弱性の修正されたバージョ
ンが公開されました。
遠隔の第三者は、これらの脆弱性を使用することで、Javaを不正終了させたり、
任意のコードを実行させたりする可能性があります。

Red Hat Security Advisory
- OpenJDK7 (java-1.7.0-openjdk)
   RHEL7系: https://rhn.redhat.com/errata/RHSA-2016-0676.html
   RHEL6系: https://rhn.redhat.com/errata/RHSA-2016-0675.html
   RHEL5系: https://rhn.redhat.com/errata/RHSA-2016-0676.html

- OpenJDK8 (java-1.8.0-openjdk)
   RHEL7系: https://rhn.redhat.com/errata/RHSA-2016-0650.html
   RHEL6系: https://rhn.redhat.com/errata/RHSA-2016-0651.html

  Oracle Critical Patch Update Advisory - April 2016

http://www.oracle.com/technetwork/security-advisory/cpuapr2016v3-2985753.html

Shibboleth IdPを運用されている機関におかれましては、以下の対応策をご確認
の上、ご対応ください。
修正バージョンへの更新作業後にTomcatの再起動が必要です。

【対応策】

Linuxディストリビューションの提供する最新版のOpenJDKパッケージ、または
Oracle社から提供されている最新版Java SE JDK/JREに更新してください。
更新後にTomcatの再起動を行ってください。

現在の学認技術ガイドに沿って構築されたShibboleth IdP環境では、Linuxディ
ストリビューションの提供するOpenJDK7を使用しています。
4/22の時点では以下のパッケージが最新です。

  (RHEL6系)
  java-1.7.0-openjdk-1.7.0.101-2.6.6.1.el6_7

  (RHEL7系)
  java-1.7.0-openjdk-1.7.0.101-2.6.6.1.el7_2


【参考情報】

(IPA) Oracle Java の脆弱性対策について(CVE-2016-3443等)
https://www.ipa.go.jp/security/ciadr/vul/20160420-jre.html

(Oracle) Oracle Critical Patch Update Advisory - April 2016
http://www.oracle.com/technetwork/security-advisory/cpuapr2016v3-2985753.html

(US-CERT) Oracle Releases Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2016/04/19/Oracle-Releases-Security-Bulletin

(JPCERT/CC) 2016年4月 Oracle Java SE のクリティカルパッチアップデートに
関する注意喚起
https://www.jpcert.or.jp/at/2016/at160018.html

-- 
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  国立情報学研究所 学術基盤課 学認事務局
　電子メール     xxxxxxxxxxxxxx@xxxxxxxxx
　学認Webページ  https://www.gakunin.jp/
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++