パスワードを忘れた? アカウント作成
16474781 story
バグ

Java SEに脆弱性。IPAとJPCERT/CCは修正パッチの早期適用を呼び掛け 24

ストーリー by nagazou
早期 部門より
情報処理推進機構(IPA)とJPCERT/CCは18日、「Oracle Java SE」に複数の脆弱性が見つかったとして、修正パッチの早期適用を呼び掛けている。脆弱性の発見された対象となる製品は「Oracle Java SE 19.0.1」「Oracle Java SE 17.0.5」「Oracle Java SE 11.0.17」「Oracle Java SE 8 Update 351-perf」「Oracle Java SE 8 Update 351」。Oracleからは17日にパッチの提供がおこなわれている。JPCERT/CCはユーザーに対し、利用している環境に対象となる製品が含まれていないかも確認するよう促している(IPAJPCERT/CCOracle Critical Patch Update Advisory - January 2023ITmedia)。
  • by Anonymous Coward on 2023年01月20日 14時48分 (#4397310)

    昔は個人のクライアント環境でも必要だったけど近年は大分一掃されましたね
    残っているのはリプレイスできない業務用とかクラウド上くらいですかね

    # ぱっと見分からない感じでスタティックで入っていた地雷が残っている可能性もあるが

    ここに返信
    • by Anonymous Coward

      クライアント側でJava使うメリットってマルチプラットフォームの全部入りのSDKだと思うんだけど、Electronが他の類似品(Adobe Airとか)まとめて需要引き込んだ感じなのかな?

    • by Anonymous Coward

      組み込み系なんかでは結構Eclipseベースのツールが多いので複数の石のソフトを書いてて
      客先にバージョン指定されたりすると余裕で10個以上インストールしてたりします。
      あと数は少ないけどMPLAB XのようにNetBeans系のもあります。

      # 意外とVSCodium/VSCode系の環境って出てこないんですよね。
      # Visual Studio Shell系だとMicrochip Studio(昔のAtmel Studio)がありますが…

    • by Anonymous Coward

      最大の脆弱性はいまだにJavaSEなんぞ使っている企業体質だ
      なんて言われるようになる日も近い?

    • by Anonymous Coward

      このサイトは雑談系だそうなんで、聞いてみたいんだけども。

      大分一掃

      これってどういう意味なんだろう、と。

      これはもしかして、

      稀によくある [mynavi.jp]

      の親戚か類語なのだろうかと。もしかしてあなたはブロントさん [wiki.ffo.jp]?

      一般に「大分(だいぶ) [goo.ne.jp]」ってのは「思ったよりも」「かなり」とかいう意味だ。一方で「一掃 [goo.ne.jp]」ってのは「すっかり払いのけること」だ。「Java SEを一掃」といえばがまったくなくなったということと同じ意味だ。そのた

      • by Anonymous Coward

        どっちやねんとは思ったがスルーした。

      • by Anonymous Coward

        「大分」のクライアント環境からJava SEが「一掃」されたと解釈するのが自然では

  • by Anonymous Coward on 2023年01月20日 15時05分 (#4397323)

    たまには必要になると思って一応AzulのJDK入れてるからアップデートしたけど、久しく起動した覚えがないね。
    Oracleがアレだしデスクトップ用はアップデーターがうざくてAzulの使ってるけど、皆様はどこのを使ってるんでしょうか?
    (そもそもJavaなんて入れてない?)

    ここに返信
    • AS/400使うために必要なIBM ACSに必要なので Amazon Corretto 使っています。
      サーバ側は、Oracleの無料のやつなのかな?わからない。

    • by Anonymous Coward on 2023年01月20日 15時16分 (#4397334)

      ベンダーが開発コストを下げるためにJavaで作ってて納品してるけど、Javaの環境までは積極的に保守して無くて脆弱性が放置されているというシステムはこの世に大量にあるね。

      「え?うちのシステムってJava使ってたの?」って思ってるユーザー企業さん多し。

    • by Anonymous Coward

      LibericaJDK使ってる。JavaFXがバンドルされてて便利。

    • by Anonymous Coward

      >Oracleがアレだし
      Oracleあんまし良くないんだっけ?
      あんまピンと来ないんだよな・・・

      • by Anonymous Coward

        SPARCもSolarisもダメ、Oracle Cloudもダメ、JavaはC#に周回遅れどころかJDK縛りがあるならKotlinやScalaという優秀な言語があるので新規案件では使う価値なし、肝心のデータベースも割と酷いバグがバンバン出てくるわ、ン億円するEXADATAですら大規模なロット不良やらかしたり、物理的にもバンバン壊れる。
        最近一番ヤベェと思ったのはJSONって名前のカラムがあるとojdbcの新しめのバージョンでSQLのパースに失敗するってやつ。

        • by Anonymous Coward

          でもOracle Redbullはチャンピオンだし
          (そんなとこに金を使って良いのか?)

          • by Anonymous Coward

            そりゃよくないだろモーターレースよりヨットレースだ。
            奴らは猛烈なあらしの中でもあきらめずレースを継続してサヨナラ号でサヨナラしかけるような連中だ。
            # ちなみにサヨナラ号のネーミングはたぶん社長の趣味でその時は社長も乗ってたらしい。んで社長はヨットレースからサヨナラしたらしい。

    • by Anonymous Coward

      マイクラ用にIBM Semeru入れてます

  • by Anonymous Coward on 2023年01月20日 15時30分 (#4397350)

    Java SEって書いてあるけどJREとかEEは該当しないの?

    ここに返信
    • by Anonymous Coward on 2023年01月20日 16時13分 (#4397416)

      Java SEの実行環境がJRE
      当然該当する

      EEは単体では該当しない

    • by Anonymous Coward

      「Oracle Java SE」って書いてるけど、Oracle以外のJavaが該当するのかも謎だよね。
      Oracle固有の問題なのかそうじゃないのかもはっきり切り分けて欲しい。

      • Re:これって (スコア:4, 参考になる)

        by Anonymous Coward on 2023年01月20日 19時16分 (#4397579)

        OpenJDKについては openjdk.org [openjdk.org] に出ていました。

        • CVE-2023-21835: DTLSの実装に脆弱性があり、不正なサービス停止 (DoS) を部分的に引き起こせる問題。
        • CVE-2023-21830: 複数のプロトコルを介してデータに不正な挿入や更新、削除などを引き起こせる問題 (other-libs)。
        • CVE-2023-21843: 同上 (javax.sound) 。

        いずれも「一般にクライアント側 (Web Startアプリケーションまたはアプレット) で発生するもので、信頼できるコードのみを実行するサーバ環境では発生しない」だそうです。

  • by Anonymous Coward on 2023年01月22日 11時52分 (#4398175)

    実質はOpenJDKと同様に脆弱性は3つで、CVSS 3.1ベーススコアの最大値は5.3。
    これくらいなら他の言語ランタイムでもよくある話では?

    ここに返信
    • by Anonymous Coward

      Java全体の安全性は長年メンテされてて確実に良くなってます。

      2010年代途中だとまだ平気でCVSSv3で9.1が何個も見つかってたとかありましたが、ここんとこはスコア低いのばかりですね。Log4ShellはLog4j/Apacheの実装側の問題だったし。

      ここのところでスコアが高いのって多くは、形式上はJavaの脆弱性にカウントされてはいますがGraalVMのPythonとかNode.jsとかの脆弱性です。要するにpython/nodejsの方がヤバい脆弱性が多くてGraalVMはそれに巻き込まれた形。

      JavaがセキュリティリスクだったのはブラウザでApplet使うときのSandboxが実装が大変だっただけで、もうWindowsを除いてAppletクラス自体がありませんし、WindowsだってIEが止まってしまったから基本的には気にしなくて良いんです。

      要するにJavaは危険と騒いでる人たちは脳みそのアップデートが追いついてない可哀想な人たちなんです。

      • by Anonymous Coward

        Javaが危険って言われていたのは概ね一貫してアプレットとしてのJavaで、
        ローカルで動くアプリの開発言語・実行環境としては最初から大して危険でもなんでもないというか、
        ローカルアプリで動いてる時点でJREと同等のユーザ権限で動いてるから昇格もクソもない。
        標準ライブラリのバグやバグを作りやすい言語仕様とかは存在し得るが、概ねアプリ側でカバーすべき領域だし、
        その意味で言えばデファクトなC/C++が直球で致命的不具合を作れる言語だから別に問題にはならない。

        問題なのはアプレットの脆弱性が騒がれてる中、アプレットの古いバージョンを強制しちゃう連中が居た事。
        言語の利用者のリテラシーがヤバすぎた。その意味ではPHPも似たところがあるね。
        そういう状況だとよく使われるライブラリに脆弱性があったり見逃されたりしがち。

        んで、python/nodejsをディスっているけどそこはこの2つもおんなじだったりしない?

        • by Anonymous Coward

          いやまあ、disってるつもりはないというか、
          スコアの高い脆弱性がGraalVM経由でJavaのrisk matrixに入っちゃってるのを
          誤解/曲解する人はいるだろうから、
          そこは言っておかないとっていう意図でした。攻撃的に読めたらスマヌ。

typodupeerror

開いた括弧は必ず閉じる -- あるプログラマー

読み込み中...