公開日:2007/08/02 最終更新日:2008/05/21
JVNVU#481921
Sun Java Web Start にバッファオーバーフローの脆弱性
Sun Java Web Start には、バッファオーバーフローの脆弱性が存在します。
- JRE(Java Runtime Environment) 6 update 1 およびそれ以前
- JRE(Java Runtime Environment) 5.0 update 11 およびそれ以前
- JDK(Java Development Kit) 6 Update 1 およびそれ以前
- JDK(Java Development Kit) 5.0 Update 11 およびそれ以前
Java Web Start は、Web を通じて Java アプリケーションを配布するためのツールであり、JRE(Java Runtime Environment) 等の Java 実行環境に同梱されています。この Java Web Start には、バッファオーバーフローの脆弱性があり、悪意のある JNLP ファイルを開いてしまうことによって、ファイルに含まれる任意のコードを、ファイルを開いたユーザの権限で実行してしまう可能性があります。
遠隔の第三者によって、Java Web Start を実行しているユーザの権限で任意のコマンドを実行される可能性があります。
ベンダのアップデートを適用する
ベンダの提供する情報をもとにアップデートを行なってください。
| ベンダ | ステータス | ステータス 最終更新日 |
ベンダの告知ページ |
|---|---|---|---|
| アライドテレシス株式会社 | 該当製品あり | 2008/05/21 | アライドテレシス株式会社 の告知ページ |
| 富士通 | 該当製品あり:調査中 | 2007/08/10 |
における脆弱性分析結果
| 評価尺度 | 攻撃成立条件 | 評価値 |
|---|---|---|
| 攻撃経路 | インターネット経由からの攻撃が可能。 |
|
| 認証レベル | 匿名もしくは認証なしで攻撃が可能。 |
|
| 攻撃成立に必要なユーザーの関与 | リンクをクリックしたり、ファイルを閲覧するなどのユーザ動作で攻撃される。 |
|
| 攻撃の難易度 | ある程度の専門的知識や運が必要。 |
|
| JPCERT 緊急報告 | |
| JPCERT REPORT | JPCERT-WR-2007-3001( 2007-08-08) |
| CERT Advisory | |
| CPNI Advisory | |
| TRnotes | |
| CVE | CVE-2007-3655 |
- 2007/08/03
- タイトル、概要、詳細情報の記述を変更しました。
- 2007/08/07
- 影響を受けるシステムの記述に追記しました。
- 2007/08/10
- ベンダ情報リンクに追記しました。
- 2007/08/10
- 富士通の JVNVU#481921への対応が更新されました。
- 2008/05/21
- アライドテレシス株式会社の JVNVU#481921への対応が更新されました。
