公開日:2007/08/02 最終更新日:2008/05/21

JVNVU#481921
Sun Java Web Start にバッファオーバーフローの脆弱性

概要

Sun Java Web Start には、バッファオーバーフローの脆弱性が存在します。

影響を受けるシステム

  • JRE(Java Runtime Environment) 6 update 1 およびそれ以前
  • JRE(Java Runtime Environment) 5.0 update 11 およびそれ以前
  • JDK(Java Development Kit) 6 Update 1 およびそれ以前
  • JDK(Java Development Kit) 5.0 Update 11 およびそれ以前

詳細情報

Java Web Start は、Web を通じて Java アプリケーションを配布するためのツールであり、JRE(Java Runtime Environment) 等の Java 実行環境に同梱されています。この Java Web Start には、バッファオーバーフローの脆弱性があり、悪意のある JNLP ファイルを開いてしまうことによって、ファイルに含まれる任意のコードを、ファイルを開いたユーザの権限で実行してしまう可能性があります。

想定される影響

遠隔の第三者によって、Java Web Start を実行しているユーザの権限で任意のコマンドを実行される可能性があります。

対策方法

ベンダのアップデートを適用する
ベンダの提供する情報をもとにアップデートを行なってください。

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
アライドテレシス株式会社 該当製品あり 2008/05/21 アライドテレシス株式会社 の告知ページ
富士通 該当製品あり:調査中 2007/08/10
ベンダ リンク
Sun #102996: Security Vulnerability in Java Web Start URL Parsing Code May Allow Untrusted Applications to Elevate Privileges
RedHat Java-1.5.0-ibm security update

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

における脆弱性分析結果

評価尺度 攻撃成立条件 評価値
攻撃経路 インターネット経由からの攻撃が可能。
認証レベル 匿名もしくは認証なしで攻撃が可能。
攻撃成立に必要なユーザーの関与 リンクをクリックしたり、ファイルを閲覧するなどのユーザ動作で攻撃される。
攻撃の難易度 ある程度の専門的知識や運が必要。
  • 中−高

各項目の詳しい説明

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT JPCERT-WR-2007-3001( 2007-08-08)
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2007-3655

更新履歴

2007/08/03
タイトル、概要、詳細情報の記述を変更しました。
2007/08/07
影響を受けるシステムの記述に追記しました。
2007/08/10
ベンダ情報リンクに追記しました。
2007/08/10
富士通の JVNVU#481921への対応が更新されました。
2008/05/21
アライドテレシス株式会社の JVNVU#481921への対応が更新されました。