HOME情報セキュリティ情報セキュリティ対策脆弱性対策脆弱性関連情報取扱い:Sun JREのXSLT処理におけるセキュリティ上の弱点(脆弱性)の注意喚起

本文を印刷する

情報セキュリティ

脆弱性関連情報取扱い:Sun JREのXSLT処理におけるセキュリティ上の弱点(脆弱性)の注意喚起

最終更新日 2008年3月12日
掲載日 2008年3月11日
>> ENGLISH

 独立行政法人 情報処理推進機構(略称:IPA、理事長:藤原武平太)は、「Sun JRE (Java Runtime Environment)」のXSLT(*1)処理におけるセキュリティ上の弱点(脆弱性)に関する注意喚起を、2008年3月11日に公表しました。
 これは、利用者が悪意あるJavaアプレットを含むウェブページを閲覧した場合に、本来権限が無いと実行できない処理を、XSLT処理を通じて不正に行なわれてしまう問題です。
悪用されると、ローカルファイルを閲覧されたり、任意のコードを実行されたり、不正終了によりウェブブラウザを終了されたりする可能性があります。
 対策方法は「ソフトウェアを最新バージョンにアップデートする」ことです。

1.概要

 サン・マイクロシステムズ(Sun Microsystems)社が提供する JRE (Java Runtime Environment) は、Javaプログラムを実行するためのソフトウェア実行環境です。ウェブブラウザ上で Java アプレットなどのプログラムを実行することが可能です。このJREには、セキュリティ上の弱点(脆弱性)があるため、悪意あるJavaアプレットを含むウェブページを閲覧した利用者が、本来権限が無いと実行できない処理を、XSLT処理を通じて不正に行なわれてしまう可能性があります。

 本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき、2006年10月18日に以下の報告者からIPAが届出を受け、有限責任中間法人 JPCERT コーディネーションセンター(JPCERT/CC)が製品開発者と調整を行ない、2008年3月11日に公表したものです。
報告者: 株式会社富士通研究所 兒島 尚 氏

2.脆弱性による影響

 利用者が、悪意あるウェブページ上のJavaアプレットを実行した場合、ローカルファイルを閲覧されたり、任意のコードを実行されたり、不正終了によりウェブブラウザを終了されたりする可能性があります。

Sun JREのXSLT処理におけるセキュリティ上の弱点(脆弱性)

3.対策方法

 対策方法は「ベンダが提供する対策済みバージョンに更新する」ことです。

 JVN脆弱性対策情報「JVN#04032535 Sun JRE (Java Runtime Environment) の XSLT 処理における脆弱性」のベンダ情報欄を参照して下さい。

 具体的には、次のサン・マイクロシステムズ社ページに記載された「2. Contributing Factors」の方法で影響を受けるシステムか否かを判断し、「5. Resolution」の方法で対策済みバージョン(update版)に更新して下さい。

 なお、JREをバージョンが異なるものに更新した場合、一部のJavaアプリケーションの動作に支障をきたす場合があります。各Javaアプリケーションの動作環境を確認の上、対策を行ってください。

3.1 最新の対策済みバージョン(JRE 6 Update 5)に更新する方法

 JRE 6に更新しても問題が無い場合について説明します。なお、使用中のJREをバージョンが異なるものに更新した場合、一部のJavaアプリケーションの動作に支障をきたす場合があります。その場合は、3.2の方法で更新を行ってください。

例1) サン・マイクロシステムズ社ページを利用して更新する方法

次のサン・マイクロシステムズ社ページより、「無料Javaのダウンロード」ボタンをクリック後、指示に従いインストールして下さい。
http://java.com/ja/

例2) WindowsでJava Update を利用して更新する方法

次のサン・マイクロシステムズ社ページ「Java Update とは何ですか」を参照し、更新して下さい。
http://www.java.com/ja/download/help/5000020700.xml

3.2 JRE 5.0/JRE 1.4.2 の対策済みバージョン(update)に更新する方法

例1)WindowsでJRE 5.0 Update 14 およびそれ以前を使用している場合

(1) Java Runtime Environment (JRE) 5.0 Update 15 の「Download」ボタンをクリック。
(2) Accept License Agreement のラジオボタンをクリック。
(3) Windows Platform - Java Runtime Environment 5.0 Update 15 の下にある、 Windows Offline Installation, Multi-language をクリック後、指示に従いインストールする。

例2)WindowsでJRE 1.4.2 Update 16 およびそれ以前を使用している場合
  • 次のサン・マイクロシステムズ社ページより、update版をダウンロードしてインストールします。インストール後、古いバージョンのJREがあれば削除します。
    http://java.sun.com/j2se/1.4.2/download.html

(1) J2SE v 1.4.2_17 JRE includes the JVM technology の「Download J2SE JRE」をクリック。
(2) Accept License Agreement のラジオボタンをクリック。
(3) Windows Platform - Java(TM) 2 Runtime Environment, Standard Edition 1.4.2_17の下にある、Windows Offline Installation, Multi-language をクリック後、指示に従いインストールする。
(4) コントロールパネルの「プログラムの追加と削除」を開き、1.4.2_17より古いJREがあるか確認する。
(5) 1.4.2_17より古いJREがあれば「プログラムの追加と削除」から削除する。

更新後、古いバージョンのJREがあるかを確認し、古いバージョンのJREがあれば削除して下さい。古いバージョンの削除要否については、表1を参照して下さい。

表1.対策済みバージョン導入後の古いバージョンの削除要否
導入した対策済みバージョン 古いバージョンの削除要否
(1) JRE 5.0 最新版のみ 不要
(2) JRE 1.4.2 最新版のみ
(3) JRE 1.4.2 最新版と JRE 5.0 最新版の両方 不要
(4) JRE 1.4.2 最新版と JRE 6 最新版の両方 不要

4.本脆弱性の深刻度

(1)評価結果

本脆弱性の深刻度 □ I(注意) ■ II(警告) □ III(危険)
本脆弱性のCVSS基本値   6.8  

(2)CVSS基本値の評価内容

AV:攻撃元区分 □ ローカル □ 隣接 ■ ネットワーク
AC:攻撃条件の複雑さ □ 高  ■ 中  □ 低 
Au:攻撃前の認証要否 □ 複数 □ 単一 ■ 不要
C:機密性への影響
(情報漏えいの可能性)
□ なし ■ 部分的 □ 全面的
I:完全性への影響
(情報改ざんの可能性)
□ なし ■ 部分的 □ 全面的
A:可用性への影響
(業務停止の可能性)
□ なし ■ 部分的 □ 全面的

注)■:選択した評価結果
AV:AccessVector, AC:AccessComplexity, Au:Authentication,
C:ConfidentialityImpact, I:IntegrityImpact, A:AvailabilityImpact

5.参考情報

(1)「情報セキュリティ早期警戒パートナーシップ」について

 ソフトウェア製品及びウェブサイトの脆弱性対策を促進し、コンピュータウイルスやコンピュータ不正アクセス等によって、不特定多数のコンピュータ(パソコン)に対して引き起こされる被害を予防するため、経済産業省の告示に基づき、官民の連携体制「情報セキュリティ早期警戒パートナーシップ」を整備し運用しています(図5-1参照)。

 最新の届出状況は、 「脆弱性関連情報に関する届出状況(プレスリリース)」 を参照下さい。

-
図5-1.「情報セキュリティ早期警戒パートナーシップ」の基本枠組み

『脚注』

(*1):XSLT
XML(Extensible Markup Language)で記述された文章を他の文章に変換するための、プログラミング言語。

本件に関するお問い合わせ先:

独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC) 山岸/渡辺

Tel:03-5978-7527 Fax:03-5978-7518 E-mail: 電話番号:03-5978-7501までお問い合わせください。

報道関係からのお問い合わせ先:

独立行政法人 情報処理推進機構 戦略企画部 広報グループ 横山/佐々木

Tel:03-5978-7503 Fax:03-5978-7510 E-mail: 電話番号:03-5978-7501までお問い合わせください。

更新履歴

2008年3月12日 対策方法を詳細に記述しました。
2008年3月11日 掲載