[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:01225] Re: 【注意喚起】 Java SE JDKおよびJREの脆弱性について(2018/7付アドバイザり)



NIIの西村です。

   ※ 8/2現在CentOSにはjava-1.7.0-openjdkの修正パッケージはリリースされていません。

紆余曲折を経てCentOSにもjava-1.7.0-openjdkの修正パッケージが配布されており
ます。適用をご検討の方はよろしくお願いします。

5月に私がこちらへ流したRed HatのOpenJDK 7の更新が終了するという噂は、結果的
に間違ったものとなりました。お詫びして訂正します。

とはいえ更新が遅れ気味なのは間違いありませんので、以前書いた以下のページを
ご参照の上8への移行のご検討をお勧めします。

OpenJDK 7→8の移行に関してこちらで把握している情報は
https://meatwiki.nii.ac.jp/confluence/x/eIExAQ
の「Java 7 or 8」にまとめている通りですが、他に有益な情報があ
りましたらお知らせください。

なお、将来のバージョンのOpenJDK/Oracle JDKで再度スクリプトの書式が変更にな
るかもという情報があります。OracleがNashornの同梱をやめることに起因するもの
ですが、Shibboleth開発元の方針が決まりましたらお知らせする予定です。
https://issues.shibboleth.net/jira/browse/JPAR-121


On 2018/08/02 13:07, 国立情報学研究所 学認事務局 wrote:
IdP運用ご担当者 各位
学認情報交換メーリングリスト参加者 各位

 国立情報学研究所 学認事務局です。
平素より学認の運営にご協力を賜り,ありがとうございます。

OpenJDKおよびOracle Javaで複数の脆弱性に関するアナウンスが公開されてお
ります。

以下のサイトなどで情報をご確認いただき、修正パッケージが公開され次第、
すみやかにアップデートを実施していただくことをお勧め致します。

(Red Hat Security Advisory)
- java-1.8.0-openjdk
   RHEL6系(https://access.redhat.com/errata/RHSA-2018:2241)
   RHEL7系(https://access.redhat.com/errata/RHSA-2018:2242)

- java-1.7.0-openjdk
   RHEL6系(https://access.redhat.com/errata/RHSA-2018:2283)
   RHEL7系(https://access.redhat.com/errata/RHSA-2018:2286)
   ※ 8/2現在CentOSにはjava-1.7.0-openjdkの修正パッケージはリリースされていません。

(Red Hat CVE Database)
https://access.redhat.com/security/cve/cve-2018-2938
https://access.redhat.com/security/cve/cve-2018-2942
https://access.redhat.com/security/cve/cve-2018-2972
https://access.redhat.com/security/cve/cve-2018-2952

※ 上記はShibboleth IdPでの使用を想定し、いわゆるクライアント向けのみの
    脆弱性は除外しております。

(Oracle Critical Patch Update Advisory - July 2018)
http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html

(2018年 7月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起)
https://www.jpcert.or.jp/at/2018/at180029.html

--
西村健
国立情報学研究所 TEL:03-4212-2890