Java SEに脆弱性。IPAとJPCERT/CCは修正パッチの早期適用を呼び掛け 24
ストーリー by nagazou
早期 部門より
早期 部門より
情報処理推進機構(IPA)とJPCERT/CCは18日、「Oracle Java SE」に複数の脆弱性が見つかったとして、修正パッチの早期適用を呼び掛けている。脆弱性の発見された対象となる製品は「Oracle Java SE 19.0.1」「Oracle Java SE 17.0.5」「Oracle Java SE 11.0.17」「Oracle Java SE 8 Update 351-perf」「Oracle Java SE 8 Update 351」。Oracleからは17日にパッチの提供がおこなわれている。JPCERT/CCはユーザーに対し、利用している環境に対象となる製品が含まれていないかも確認するよう促している(IPA、JPCERT/CC、Oracle Critical Patch Update Advisory - January 2023、ITmedia)。
漸く他人事 (スコア:0)
昔は個人のクライアント環境でも必要だったけど近年は大分一掃されましたね
残っているのはリプレイスできない業務用とかクラウド上くらいですかね
# ぱっと見分からない感じでスタティックで入っていた地雷が残っている可能性もあるが
Re: (スコア:0)
クライアント側でJava使うメリットってマルチプラットフォームの全部入りのSDKだと思うんだけど、Electronが他の類似品(Adobe Airとか)まとめて需要引き込んだ感じなのかな?
Re: (スコア:0)
組み込み系なんかでは結構Eclipseベースのツールが多いので複数の石のソフトを書いてて
客先にバージョン指定されたりすると余裕で10個以上インストールしてたりします。
あと数は少ないけどMPLAB XのようにNetBeans系のもあります。
# 意外とVSCodium/VSCode系の環境って出てこないんですよね。
# Visual Studio Shell系だとMicrochip Studio(昔のAtmel Studio)がありますが…
Re: (スコア:0)
最大の脆弱性はいまだにJavaSEなんぞ使っている企業体質だ
なんて言われるようになる日も近い?
Re: (スコア:0)
このサイトは雑談系だそうなんで、聞いてみたいんだけども。
これってどういう意味なんだろう、と。
これはもしかして、
の親戚か類語なのだろうかと。もしかしてあなたはブロントさん [wiki.ffo.jp]?
一般に「大分(だいぶ) [goo.ne.jp]」ってのは「思ったよりも」「かなり」とかいう意味だ。一方で「一掃 [goo.ne.jp]」ってのは「すっかり払いのけること」だ。「Java SEを一掃」といえばがまったくなくなったということと同じ意味だ。そのた
Re: (スコア:0)
どっちやねんとは思ったがスルーした。
Re: (スコア:0)
「大分」のクライアント環境からJava SEが「一掃」されたと解釈するのが自然では
みんなどこのJDK/JRE使ってる? (スコア:0)
たまには必要になると思って一応AzulのJDK入れてるからアップデートしたけど、久しく起動した覚えがないね。
Oracleがアレだしデスクトップ用はアップデーターがうざくてAzulの使ってるけど、皆様はどこのを使ってるんでしょうか?
(そもそもJavaなんて入れてない?)
Re:みんなどこのJDK/JRE使ってる? (スコア:2)
AS/400使うために必要なIBM ACSに必要なので Amazon Corretto 使っています。
サーバ側は、Oracleの無料のやつなのかな?わからない。
Re:みんなどこのJDK/JRE使ってる? (スコア:1)
ベンダーが開発コストを下げるためにJavaで作ってて納品してるけど、Javaの環境までは積極的に保守して無くて脆弱性が放置されているというシステムはこの世に大量にあるね。
「え?うちのシステムってJava使ってたの?」って思ってるユーザー企業さん多し。
Re: (スコア:0)
LibericaJDK使ってる。JavaFXがバンドルされてて便利。
Re: (スコア:0)
>Oracleがアレだし
Oracleあんまし良くないんだっけ?
あんまピンと来ないんだよな・・・
Re: (スコア:0)
SPARCもSolarisもダメ、Oracle Cloudもダメ、JavaはC#に周回遅れどころかJDK縛りがあるならKotlinやScalaという優秀な言語があるので新規案件では使う価値なし、肝心のデータベースも割と酷いバグがバンバン出てくるわ、ン億円するEXADATAですら大規模なロット不良やらかしたり、物理的にもバンバン壊れる。
最近一番ヤベェと思ったのはJSONって名前のカラムがあるとojdbcの新しめのバージョンでSQLのパースに失敗するってやつ。
Re: (スコア:0)
でもOracle Redbullはチャンピオンだし
(そんなとこに金を使って良いのか?)
Re: (スコア:0)
そりゃよくないだろモーターレースよりヨットレースだ。
奴らは猛烈なあらしの中でもあきらめずレースを継続してサヨナラ号でサヨナラしかけるような連中だ。
# ちなみにサヨナラ号のネーミングはたぶん社長の趣味でその時は社長も乗ってたらしい。んで社長はヨットレースからサヨナラしたらしい。
Re: (スコア:0)
マイクラ用にIBM Semeru入れてます
これって (スコア:0)
Java SEって書いてあるけどJREとかEEは該当しないの?
Re:これって (スコア:1)
Java SEの実行環境がJRE
当然該当する
EEは単体では該当しない
Re: (スコア:0)
「Oracle Java SE」って書いてるけど、Oracle以外のJavaが該当するのかも謎だよね。
Oracle固有の問題なのかそうじゃないのかもはっきり切り分けて欲しい。
Re:これって (スコア:4, 参考になる)
OpenJDKについては openjdk.org [openjdk.org] に出ていました。
いずれも「一般にクライアント側 (Web Startアプリケーションまたはアプレット) で発生するもので、信頼できるコードのみを実行するサーバ環境では発生しない」だそうです。
ITmedia記事はひどい (スコア:0)
実質はOpenJDKと同様に脆弱性は3つで、CVSS 3.1ベーススコアの最大値は5.3。
これくらいなら他の言語ランタイムでもよくある話では?
Re: (スコア:0)
Java全体の安全性は長年メンテされてて確実に良くなってます。
2010年代途中だとまだ平気でCVSSv3で9.1が何個も見つかってたとかありましたが、ここんとこはスコア低いのばかりですね。Log4ShellはLog4j/Apacheの実装側の問題だったし。
ここのところでスコアが高いのって多くは、形式上はJavaの脆弱性にカウントされてはいますがGraalVMのPythonとかNode.jsとかの脆弱性です。要するにpython/nodejsの方がヤバい脆弱性が多くてGraalVMはそれに巻き込まれた形。
JavaがセキュリティリスクだったのはブラウザでApplet使うときのSandboxが実装が大変だっただけで、もうWindowsを除いてAppletクラス自体がありませんし、WindowsだってIEが止まってしまったから基本的には気にしなくて良いんです。
要するにJavaは危険と騒いでる人たちは脳みそのアップデートが追いついてない可哀想な人たちなんです。
Re: (スコア:0)
Javaが危険って言われていたのは概ね一貫してアプレットとしてのJavaで、
ローカルで動くアプリの開発言語・実行環境としては最初から大して危険でもなんでもないというか、
ローカルアプリで動いてる時点でJREと同等のユーザ権限で動いてるから昇格もクソもない。
標準ライブラリのバグやバグを作りやすい言語仕様とかは存在し得るが、概ねアプリ側でカバーすべき領域だし、
その意味で言えばデファクトなC/C++が直球で致命的不具合を作れる言語だから別に問題にはならない。
問題なのはアプレットの脆弱性が騒がれてる中、アプレットの古いバージョンを強制しちゃう連中が居た事。
言語の利用者のリテラシーがヤバすぎた。その意味ではPHPも似たところがあるね。
そういう状況だとよく使われるライブラリに脆弱性があったり見逃されたりしがち。
んで、python/nodejsをディスっているけどそこはこの2つもおんなじだったりしない?
Re: (スコア:0)
いやまあ、disってるつもりはないというか、
スコアの高い脆弱性がGraalVM経由でJavaのrisk matrixに入っちゃってるのを
誤解/曲解する人はいるだろうから、
そこは言っておかないとっていう意図でした。攻撃的に読めたらスマヌ。