[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:01368] Re: 【注意喚起】Java SE JDK及びJREの脆弱性について(2020年10月)
- Subject: [upki-fed:01368] Re: 【注意喚起】Java SE JDK及びJREの脆弱性について(2020年10月)
- Date: Fri, 6 Nov 2020 18:47:48 +0900
- From: Takeshi Nishimura <xxxxxxx@xxxxxxxxx>
Shibboleth IdPをご利用のみなさま、
NIIの西村です。
こちらの件ですが、RHELで配布を開始している8u272(
java-1.8.0-openjdk-1.8.0.272.b10-1.el7_9
java-1.8.0-openjdk-1.8.0.272.b10-0.el6_10
)かつShibboleth IdPバージョン3を使っている場合に、LDAP over TLS(つまり
StartTLSとLDAPS)が失敗するという情報があります。
https://marc.info/?l=shibboleth-users&m=160430766512138&w=2
上記に該当する方はご注意ください。他のバグ修正を含めた8u275を準備している模様です。
https://mail.openjdk.java.net/pipermail/jdk8u-dev/2020-November/012953.html
なお、Shibboleth IdPバージョン4はJNDIではなくUnboundIDを使う
ためこの影響を受けません。IdPv3でUnboundIDを使う方法については、
以下のページで触れておりますので必要な方はご参照ください。
https://meatwiki.nii.ac.jp/confluence/x/lx1HAQ
> 2020/11/06 14:39、MIZUMOTO, Akinori(GakuNin) <xxxxxxxxxxxxxx@xxxxxxxxx>のメール:
>
> IdP運用担当者 各位
> 学認情報交換ML参加者 各位
>
> 国立情報学研究所 学認事務局です。
> 平素より学認の運営にご協力を賜り,ありがとうございます。
>
>
> OpenJDKおよびOracle Javaで複数の脆弱性に関するアナウンスが公開されてお
> ります。
>
> 以下のサイトなどで情報をご確認いただき、すみやかにアップデートを実施し
> ていただくことをお勧め致します。
>
> (Red Hat Security Advisory)
> - java-11-openjdk
> RHEL/CentOS 7: https://access.redhat.com/errata/RHSA-2020:4307
>
> - java-1.8.0-openjdk
> RHEL/CentOS 7: https://access.redhat.com/errata/RHSA-2020:4350
> RHEL/CentOS 6: https://access.redhat.com/errata/RHSA-2020:4348
>
> ※ OpenJDK 7(java-1.7.0-openjdk)は2020年6月にサポートが終了しており、
> 今後アップデートは提供されません。
> https://access.redhat.com/ja/articles/1457743
>
> ※ 10/27現在、CentOS 7/6には修正パッケージはリリースされていません。
>
> (Red Hat CVE Database)
> https://access.redhat.com/security/cve/cve-2020-14792
> https://access.redhat.com/security/cve/cve-2020-14781
> https://access.redhat.com/security/cve/cve-2020-14782
> https://access.redhat.com/security/cve/cve-2020-14797
> https://access.redhat.com/security/cve/cve-2020-14779
>
> ※ 上記はShibboleth IdPでの使用を想定し、いわゆるクライアント向けのみの
> 脆弱性は除外しております。
>
> Oracle Critical Patch Update Advisory - October 2020
> https://www.oracle.com/security-alerts/cpuoct2020.html
>
> 2020年10月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起
> https://www.jpcert.or.jp/at/2020/at200040.html
--
西村健
国立情報学研究所 TEL:03-4212-2890
★在宅勤務の場合もありますので、基本的にメールでご連絡ください★
⌘