SunのJRE/JDK/SDKに深刻な脆弱性を発見 46
ストーリー by yoosee
お茶がこぼれるっ 部門より
お茶がこぼれるっ 部門より
Concerto曰く、"ITmediaやITProによると、Sun Microsystems Inc.のJRE/JDK/SDKに深刻な脆弱性が発見されました。
この脆弱性を突かれると、リモートからファイルの読み取りと書き込み、アプリケーションの実行ができてしまうので、事実上システムを乗っ取られる事になります。
Secuniaの情報によれば、この脆弱性は「極めて深刻」なものであるとし、Sunからは既に脆弱性に対処したアップデートが出ているので、問題のあるバージョンを利用している方はアップデートをするように呼びかけています。なお、この脆弱性の影響を受けるのは
- JRE 1.3.1_16以前/1.4.2_09以前/5.0 Update 5以前
- Java SDK1.3.1_16以前/1.4.2_08以前
- JDK5.0 Update 5以前
旧バージョンのアンインストールも必要かも (スコア:4, 参考になる)
Sun Alert Notification #102171 [sun.com]より
実は旧バージョンを起動できるのかもしれません。 [srad.jp]
Re:旧バージョンのアンインストールも必要かも (スコア:1, 参考になる)
その前ストーリーを読みつつJRE 5.0 Update 6をインストールしていたときの話です。
JRE 5.0 Update 6を入れたら、過去の全てのバージョン用のレジストリが強制的にJRE 5.0 Update 6のプラグインを起動するよう書き換えられていました。
# それはそれで特定バージョンが必要なイントラネット環境とかで困りそうだが
では対策されたのかと思いきや、デュアルブートの別環境に入れてみたら今度はJRE 5.0 Update 6の分のレジストリしか更新されませんでした。よく分かりません。
バージョン番号表記 (スコア:3, 興味深い)
して出てくる番号をみても "Update xx" とやらに相当するのかどうか判断がつかなかったので、調べてみました。
J2SE SDK/JRE Version String Naming Convention [sun.com]にバージョン番号表現の規約があります。
今回の場合、JDK 5.0 系列なら「java version "1.5.0_05"」ないしは _05 がこれより小さいとダメという事のようです。
末尾に -* がついていても (正式版より古い物なので) ダメ、と。
"5.0" と "1.5.0" については Version 1.5.0 or 5.0? [sun.com]でしょうか。
JREのアップデート (スコア:2, おもしろおかしい)
通知はn日後にしても、また何日かしたら出てくるし。
切ることはできないんでしょうか?
Re:JREのアップデート (スコア:1, 参考になる)
Re:JREのアップデート (スコア:1, おもしろおかしい)
それにしても1年近く右クリック設定にすら気づかなかった自分は相当馬鹿だなあ。
脊髄反射で処理してたっぽい。
Re:JREのアップデート (スコア:1, すばらしい洞察)
Re:JREのアップデート (スコア:0)
そんなモデレートをあなたに付けてあげたい。
Re:JREのアップデート (スコア:0)
このアプリに限らないが。
#このスレ初AC
eclipsもやばいのかな (スコア:2, おもしろおかしい)
チップメーカの開発環境がeclipsだったりすることも結構あるし。
Re:eclipsもやばいのかな (スコア:3, 参考になる)
ざっとリンク先を見る限り,提供された開発環境をふつーに使っている限りは,大きな問題はないと思います.
ただし,Webブラウザとしても使っている場合はかなり微妙です.
出所の判らないプラグインを追加した場合は…これは今回の脆弱性に限った話ではないですね.
多くの環境は,Eclipse配下に,eclipse.exe だけが使うJREをいれています.単にJREをアップグレードしただけではEclipseが使っているJREのバージョンが上がらない可能性が高いです.そういう意味では,長期にわたって潜在的な爆弾を抱えることになる人は多いかもしれない.
開発環境メーカからの発表を注意深く見守るか,この機会にEclipseそのもののお勉強をするか,どちらかの対策は必要かも.
個人的には後者を勧めますけれども.
from もなか
Re:eclipsもやばいのかな (スコア:1, すばらしい洞察)
影響を受けるのは (スコア:2, すばらしい洞察)
1.4.2_09以前じゃないの?
他のOSは大丈夫でしょうか?? (スコア:1)
FreeBSD VuXML を見る限りでは、まだ Topic があがってきてないようですが・・・。
Re:他のOSは大丈夫でしょうか?? (スコア:2, 参考になる)
Re:他のOSは大丈夫でしょうか?? (スコア:1)
FreeBSDだと, まだ1.4.2ではpatchset8までしか無いのではないでしょうか? つまり使用しないしか回避策が無いと.
# それ以前にpatchset8だとOpenOffice.orgがコンパイルエラーを起こすのが痛い
最新版にも未パッチの脆弱性が (スコア:1, オフトピック)
ホントーに Java って、脆弱性が見つかってから、また脆弱性が見つかるまでの間隔が短すぎるよね。12月も問題出したばっかりじゃないか。
Java は、アンインストールして、二度とインストールしない方がセキュリティーは向上するな。
Re:最新版にも未パッチの脆弱性が (スコア:3, 参考になる)
Sun Java System Directory ServerとJREは別物です。
間隔はともかく、結構数が出ている印象はありますね。修正版が出てから脆弱性を公表するまでの期間が長いことも気になっているのですが、何か理由でもあるのでしょうか?
Re:最新版にも未パッチの脆弱性が (スコア:2, すばらしい洞察)
間隔が短いと、発表された脆弱性を持つ環境が
たくさん残った状態でより多くの攻撃者に
セキュリティホールを知らせてしまうからでは
ないでしょうか。
# どうあがいても知る人は知ってしまうので
# そういうひと以外にわざわざ知らせない、という意味
セキュリティパッチが出てないのに
公表されると怖いですよ。さすがに。
AppleのJVMは、SUNより遅れるのでこういう配慮は
嬉しいです。
Re:最新版にも未パッチの脆弱性が (スコア:1)
脆弱性が公表されなければ多くの利用者はアップデートせず、脆弱性を持つ環境がたくさん残った状態のままなのでは?
また、パッチをリバースエンジニアリングしてExploitコードが作られたり [impress.co.jp]もしているようなので、脆弱性の発表前に修正版を出すこと自体がより多くの攻撃者にセキュリティホールを知らせてしまう原因にもなりかねません。
それは企業間で連絡を取り合うなり、CERT/CC [cert.org]とかに協力してもらうなりして調整すれば良いだけの話です。
Re:最新版にも未パッチの脆弱性が (スコア:2, 参考になる)
Re:最新版にも未パッチの脆弱性が (スコア:0)
危険になってきましたねえ (スコア:1)
騒がれた時期があったものですが、SunのJavaVMも
セキュリティが安全では無くなってきたのですねえ。
ところでJavaは未だにVC++6で開発していると聞いたことが
あるのですが、VC++6よりIntelコンパイラで開発して
ほしいと思うのはたぶん私だけでしょうか。
Re:危険になってきましたねえ (スコア:2, 参考になる)
脆弱性を回避するために仕様変更が繰り返されているので
昔に書いたプログラムソースとの互換性も保たれてはいないです。
Write once, Run anywhere という宣伝文句の実現も絶望的ですし、
Javaで書かれたソフトをいくつか利用しているユーザの立場から言うと
ソフトによって動作するJREのバージョンが違うために、それぞれの
ソフト専用でマシンを用意する必要があって不便です。
脆弱性を修正するためにバージョンアップをしたら
「そのバージョンでは動かない」といって強制終了されることもあります。
結果的に脆弱性を抱えたまま使い続ける羽目になります。
Javaの採用はユーザにとって良いことなのではなく、開発者(社)にとって
開発しやすい、移植しやすいという理由だけなんじゃないかと思います。
Windowsの脆弱性修正パッチを当てると、使用中のソフトが動かなくなる
可能性があるから容易には実施できないと聞きますが、Javaの場合も
似たようなものです。
いや、もっと酷いか。
Re:危険になってきましたねえ (スコア:2, おもしろおかしい)
初期のころのJava解説本のサンプルコードはほとんど全てアウト。
なんでこんなもんを使いたがるのか知りたいもんだ。
Re:危険になってきましたねえ (スコア:0)
> 初期のころのJava解説本のサンプルコードはほとんど全てアウト。
具体的にはどんなコードがアウトになるのですか?
Re:危険になってきましたねえ (スコア:0)
Re:危険になってきましたねえ (スコア:0)
Re:危険になってきましたねえ (スコア:0)
何でこんなFUDを流す人たちがいるのか逆に知りたいですね。具体例を聞いてもぜんぜん出てこないし。
Re:危険になってきましたねえ (スコア:1, おもしろおかしい)
それは、本当に何の問題もないのか?
危ない脆弱性を抱えたアプレットか、もしくは極単純な機能しかない
役に立たないゴミアプレットなのではないか?
君の公開しているアプレットがたまたま動くだけじゃないのか?
君のアプレットがたまたま動いたからといって、他のJavaソフトも
同じように動くとなぜ言える?
バイナリレベルの下位互換性はそこそこあるが、互換性のない場合もある。
ソースレベルの下位互換性は保証されておらず、非推奨APIが使われている
ソースをコンパイルできるように一応は残っているが、バージョンが
大きく違うとそれも怪しい。
非推奨APIを使い続けているアプリケーションがまともなものなのかは知らん。
君のソースコードは最新の開発環境で再コンパイルできるか?
FUDではなく、実際の話として動作しないソフトはある。
開発者が、将来に渡って変わっていくJavaの仕様に対して自信が持てず、
仕様が変わったがために誤動作し、損害が発生するのを恐れて
実行環境のバージョンをチェックして新しいバージョンでは動かないように
しているソフトもある。
重要なデータを処理するようなソフトであれば尚更である。
Re:危険になってきましたねえ (スコア:0)
Re:危険になってきましたねえ (スコア:0)
少しは自分で調べることもしろ。馬鹿が。
http://java.sun.com/j2se/1.5.0/ja/compatibility.html
ここでもよく読め。
読まずによく分かったふりするなよ。
Re:危険になってきましたねえ (スコア:0)
なんかは、
Re:危険になってきましたねえ (スコア:1, すばらしい洞察)
あなたのいう動かなくなるソフトも何も、あなたの話には全然信用性がないのですね。
だからあなたはFUDと呼ばれているのですよ?
Re:危険になってきましたねえ (スコア:0)
自分は何一つ証拠を見せないくせに人には悪魔の証明を求めるくらいですからねえ。信用しろという方が無理ですよね。
Re:危険になってきましたねえ (スコア:1, 興味深い)
この部分の具体例を教えてください。
Re:危険になってきましたねえ (スコア:1, 興味深い)
MS JVMはMSだから、ということでセンセーショナルに叩かれていた面も否定できません。
しかもSun自身が脆弱性情報の隠蔽傾向にあり、ひっそりとリビジョンを上げて知らんぷり、ということも過去行われています。
Re:危険になってきましたねえ (スコア:1)
#と言うわけで、1.4.2_08 のバグがなんで今頃ネタになるのが全然分からない。1.4.2_09 でも致命的なバグはあるのに。
Re:危険になってきましたねえ (スコア:0, フレームのもと)
> 仕様そのものの脆弱性と、
使用そのものの脆弱性って何のこと?
Re:危険になってきましたねえ (スコア:0)
それは本当です。 Sun JavaSE 6 より前は VC6 + SP3 でした。
でも Linux はもっと酷くてビルドに RedHatLinux 6.x が必要です。 GCC 3.x 系でビルドするには、かなりパッチングが必要です。 Intel C/C++ Compiler にはバグが多いのでお薦めし難いです。
実際に ICC でコンパイルしよとすると、最適化を上げていると compiler internal error が出てダメ。
最適化を切って(-O0)でソースをあちこち修正すればビルドはできますが速くはなりません。JIT コンパイルは速くなっても、翻訳されたコードの速度は変わらないから。
/.J の過去記事 (スコア:1)
コンタミは発見の母
Re:/.J の過去記事 (スコア:1)
ハズレと違います?
Re:/.J の過去記事 (スコア:1)
5.0 系はマイナーバージョンアップで修正と機能拡張が同時に行われるので安定している 1.3.1 系と 1.4.2 系を見てみると、今回の脆弱性への対応は java.lang.reflect.Proxy クラスと sun.misc.ProxyGenerator クラスに入っているものですね。
前回の脆弱性への対応はどこに入っているのか分かり辛いのですが、java.beans.Introspector やその他のライブラリで reflection API を使っているところにパラパラと修正が入っているのが、対応っぽい気がします。
# 今回の脆弱性って使えるのかなぁ。
# Java に -Xverify:none とか指定していない限り verifier が弾いてしまうような気がする。
コンタミは発見の母
IBMのJRE1.4.2は (スコア:0, 興味深い)
サーバでの影響は? (スコア:0)
#おそらく大丈夫と踏んでいるが臆病者なのでAC
忘れ物をお届けにまいりました (スコア:0)