[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:01049] Re: 【注意喚起】OpenJDKおよびOracle Javaの脆弱性について(2016/4/22)



西村です。

本件についてOpenJDK 6でもアップデートが出ました。
https://rhn.redhat.com/errata/RHSA-2016-0723.html
# 最近の傾向として6は他のものよりリリースが遅れています。
該当する方はアップデートのほうよろしくお願いします。
# アップデートしたらTomcatの再起動を行ってください。

この他毎回恒例となっている暗号系の改善がありますので、暗号の
強度を気にされる方は毎回アップデートすることをお勧めします。
https://access.redhat.com/security/cve/cve-2016-3426 (GCM関連)
https://access.redhat.com/security/cve/cve-2016-0695 (DSA関連)

これに関連して、去年のもので特筆すべきはOpenJDK 7のECC対応がありました。
https://rhn.redhat.com/errata/RHEA-2015-2177.html

これ以前のものは以下でまとめたものがありました。
https://upki-portal.nii.ac.jp/ml-archives/upki-odcert/msg00078.html
同様にOpenJDK/Oracle JDKをお使いの場合は、毎回のようにアップデートに
暗号関連の修正が入っているようですので、最新版を使うことをお勧めして
おきます。
最近のアップデート:
https://access.redhat.com/security/cve/CVE-2014-6457 - Triple Handshake attack対策
https://bugzilla.redhat.com/show_bug.cgi?id=1148309 - DH鍵2048bit対応
https://access.redhat.com/security/cve/CVE-2014-6558
7u65
https://bugzilla.redhat.com/show_bug.cgi?id=1119475
https://bugzilla.redhat.com/show_bug.cgi?id=1119476
https://bugzilla.redhat.com/show_bug.cgi?id=1119622
7u60
https://bugzilla.redhat.com/show_bug.cgi?id=1096410
7u55(2014-04-15)
https://bugzilla.redhat.com/show_bug.cgi?id=1086645
7u51(2014-01-15)
https://bugzilla.redhat.com/show_bug.cgi?id=1053010
7u45(2013-10-21)
https://bugzilla.redhat.com/show_bug.cgi?id=1018785


On 2016/04/27 18:43, Takeshi NISHIMURA wrote:
西村です。

今回の四半期に一度の脆弱性公開でShibboleth IdPの運用に
関係しそうなものというと以下でしょうか。
https://access.redhat.com/security/cve/cve-2016-3427
JMXポートを開けた運用をしているならデシリアライズ経由で
コード実行が可能、と思われます。

他に攻撃方法をご存知の方がいらっしゃいましたらお知らせください。

この他毎回恒例となっている暗号系の改善がありますので、暗号の
強度を気にされる方は毎回アップデートすることをお勧めします。
https://access.redhat.com/security/cve/cve-2016-3426 (GCM関連)
https://access.redhat.com/security/cve/cve-2016-0695 (DSA関連)

なお、前回から引き続きですがMD5withRSAの署名を受け付けなくなった
ことから、IdPのバックチャネルでそのような証明書での接続がうまく
いかなくなっています。
Subject: Java 8u72 / MD5 certificates
https://marc.info/?l=shibboleth-users&m=145357221621549&w=2
Subject: Does JDK 8u72 break OpenSAML certificate parsing in some cases?
http://marc.info/?t=145451127300006&r=1&w=2

学認参加IdP/SPでは該当する証明書を使っているのはScienceDirect
のみでSAML2のためバックチャネルを使うことはなく、問題になることは
ないと思います。
他のフェデレーションをご利用の方、ローカルフェデレーションを運用し
ている方は、登録されている証明書にご注意ください。

2016/04/26 10:04、学認事務局 末永 <xxxxxxxxxxxxxx@xxxxxxxxx> のメール:

学認情報交換ML 参加者各位
学認各IdP / SP運用ご担当者各位

 国立情報学研究所 学認事務局の末永です。
平素より学認の運営にご協力を賜り,ありがとうございます。


OpenJDKおよびOracle Javaに複数の脆弱性があり、脆弱性の修正されたバージョ
ンが公開されました。
遠隔の第三者は、これらの脆弱性を使用することで、Javaを不正終了させたり、
任意のコードを実行させたりする可能性があります。

Red Hat Security Advisory
- OpenJDK7 (java-1.7.0-openjdk)
  RHEL7系: https://rhn.redhat.com/errata/RHSA-2016-0676.html
  RHEL6系: https://rhn.redhat.com/errata/RHSA-2016-0675.html
  RHEL5系: https://rhn.redhat.com/errata/RHSA-2016-0676.html

- OpenJDK8 (java-1.8.0-openjdk)
  RHEL7系: https://rhn.redhat.com/errata/RHSA-2016-0650.html
  RHEL6系: https://rhn.redhat.com/errata/RHSA-2016-0651.html

 Oracle Critical Patch Update Advisory - April 2016

http://www.oracle.com/technetwork/security-advisory/cpuapr2016v3-2985753.html

Shibboleth IdPを運用されている機関におかれましては、以下の対応策をご確認
の上、ご対応ください。
修正バージョンへの更新作業後にTomcatの再起動が必要です。

【対応策】

Linuxディストリビューションの提供する最新版のOpenJDKパッケージ、または
Oracle社から提供されている最新版Java SE JDK/JREに更新してください。
更新後にTomcatの再起動を行ってください。

現在の学認技術ガイドに沿って構築されたShibboleth IdP環境では、Linuxディ
ストリビューションの提供するOpenJDK7を使用しています。
4/22の時点では以下のパッケージが最新です。

 (RHEL6系)
 java-1.7.0-openjdk-1.7.0.101-2.6.6.1.el6_7

 (RHEL7系)
 java-1.7.0-openjdk-1.7.0.101-2.6.6.1.el7_2


【参考情報】

(IPA) Oracle Java の脆弱性対策について(CVE-2016-3443等)
https://www.ipa.go.jp/security/ciadr/vul/20160420-jre.html

(Oracle) Oracle Critical Patch Update Advisory - April 2016
http://www.oracle.com/technetwork/security-advisory/cpuapr2016v3-2985753.html

(US-CERT) Oracle Releases Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2016/04/19/Oracle-Releases-Security-Bulletin

(JPCERT/CC) 2016年4月 Oracle Java SE のクリティカルパッチアップデートに
関する注意喚起
https://www.jpcert.or.jp/at/2016/at160018.html

--
西村健
国立情報学研究所 TEL:03-4212-2890