HOME情報セキュリティ特集コンテンツ公式アップデートの提供方法の変更に伴う Java SE の商用ユーザに向けた注意喚起

本文を印刷する

情報セキュリティ

公式アップデートの提供方法の変更に伴う Java SE の商用ユーザに向けた注意喚起

最終更新日:2018年11月07日
独立行政法人情報処理推進機構
セキュリティセンター

概要

     提供元のオラクルコーポレーションの情報によれば、商用ユーザに向けた「Java SE 8(Java Platform, Standard Edition8)」のアップデート・リリースは 2019年 1月に終了すると案内されています。

     新たな脆弱性が発見されても、アップデート・リリースが提供されなくなり、脆弱性を悪用した攻撃による情報漏洩や意図しないサービス停止などの被害を受ける可能性が高くなります。商用ユーザには、速やかなアップデート等の実施が求められます。

     オラクルコーポレーションが発表したロードマップによれば、今後は Java SE の提供方法が変更になると案内されています。商用ユーザは、オラクルコーポレーションが公表している情報を十分に理解した上で、今後の Java SE を継続利用する場合についてのアップデート計画やサポートの利用計画(アップデート・リリースの適用)等を含め検討をしてください。

対策

     これまでは、2年に 1度を目標に提供されてきた新機能追加によるメジャー・リリース・サイクルが、変更後は、6カ月に 1回(毎年3月、9月)毎に提供(フィーチャ-・リリース)されるようになり、また、新機能追加によるフィーチャ-・リリースが提供された時点で、古いフィーチャ-・リリースに対するアップデート・リリースはサポートが終了になると案内されています。

     商用ユーザは、オラクルコーポレーションが公表している情報を十分に理解した上で今後の Java SE の利用形態についてご検討ください。

     各バージョン毎の Java SE は以下よりダウンロード可能です。

    Java SE Downloads 
    https://www.oracle.com/technetwork/java/javase/downloads/index.html別ウィンドウで開く

参考情報

補足:アップデート・リリースが提供されていない Java SE を使い続けた場合の被害

     オラクルコーポレーションによれば、新機能追加によるフィーチャ-・リリースが提供された時点で、古いフィーチャ-・リリースに対するアップデート・リリースはサポートが終了になると案内されています。このため、脆弱性が新たに発見されてもアップデート・リリースが提供されないため攻撃の被害にあう可能性が高くなります。例として、下記のような被害に遭う可能性があります。

    • サーバのプログラムに対し、悪意のある入力が行われる可能性があり、その結果、意図しない動作を引き起こし、情報漏えいや意図しないサービス停止の可能性があります。
    • 図:Java SE の脆弱性を悪用したサーバへの攻撃
      図:Java SE の脆弱性を悪用したサーバへの攻撃

本件に関するお問い合わせ先

IPA セキュリティセンター

E-mail:

※個別の環境に関するご質問を頂いても回答ができない場合があります。
 詳しくは製品ベンダなどにお問合せください。

更新履歴

2018年11月07日 掲載