IBM、IBM i JDKにおける13件のセキュリティの脆弱性を修正
お使いのJavaを補強する時がやってきました。先月、IBMは、IBM iバージョン6.1、7.1、7.2、7.3用のJava Development Kit(JDK)に影響を及ぼす13件のセキュリティ脆弱性を修正しました。これらの脆弱性は、ちょっとした迷惑程度のものから深刻度の高いものまで多岐に渡りますが、特に4件の脆弱性については、CVSSの影響度スケールで満点とされる10となっています。
IBMが6月27日のセキュリティブリテンで確認した13件の脆弱性のうち、3件以外はすべて、このセミオープンソース言語の開発を主導し、それらの問題の修正に当たったOracleによって最初に公表されたものです。Oracleは、自社の4月のクリティカル パッチ アップデートにおいて、IBMが今回リリースしたセキュリティ パッチで対応したほとんどの脆弱性の存在を発表していました。
まずは、最も重大な影響を及ぼしかねない脆弱性、すなわちCVSS基本値が満点の10とされているものから見ていきます。これらは、IBM iを含めて、Javaを実行しているコンピューターの機密性、完全性、および可用性に対して最も重大な影響を及ぼす可能性があるものです。
CVE-2016-3427は、各種Java製品(Oracle Java SE、Java SE Embedded、JRockitなど)のJMXコンポーネントにおける詳細不明の脆弱性について記述しています。これは、影響を受けたシステムがリモートの攻撃者に完全に制御されてしまう可能性のあるものです。Oracleのセキュリティ レポートによれば、この脆弱性は、クライアントおよびサーバー上のJava実装で悪用される可能性があり、API経由で呼び出し可能で、サンドボックス化されたJava環境に影響を及ぼすこともあります。CVSS現状値は7.4で、いまだに高めの値と考えられます。
IBMは、Oracle Java SE 2Dコンポーネントにおける詳細不明の脆弱性、CVE-2016-3443に対するOracleのパッチの再配布も行っています。この脆弱性では、影響を受けたサーバーが攻撃者に完全に制御されてしまう可能性があります。CVSS基本値は満点の10、現状値は7.4で、深刻な脆弱性となっています。
また、ハッカーたちは、4月にOracleへ最初に報告されたもうひとつのたちの悪い小さな脆弱性、CVE-2016-0687を通じて完全な制御を手にすることも可能です。この脆弱性は、Java SE Embedded Hotspotコンポーネントに影響を及ぼすものであり、CVSS基本値は満点の10、CVSS現状値は7.4で、かなり深刻です。
一方、CVE-2016-0686は、Java SEおよびJava SE Embeddedのシリアライゼーション コンポーネントにおける問題について記述しています。影響を受けたサーバーが攻撃者に完全に制御されてしまう可能性があります。CVSS基本値は満点の10、現状値は7.4です。
また、IBMは、Oracle Java Standard Edition(SE)バージョン6~8におけるもうひとつの詳細不明の脆弱性である、CVE-2016-3449に対するパッチもリリースしました。この脆弱性では、攻撃者がリモートからアクセスしてサーバーに影響を及ぼすことができてしまう可能性があります。この脆弱性も4月に発見され、Oracleによってパッチが提供されています。CVSS基本値は7.6、現状値は5.6です。
CVE-2016-3425に対するパッチでは、攻撃者がサービス妨害攻撃(DOS)を開始できるという、Java SEバージョン6~8におけるもうひとつの問題が修正されます。この脆弱性は、CVSS基本値は5で中程度の脅威であり、現状値は3.7で、これは実際に攻撃を実行するのは難しいということを示しています。
IBMがIBM i JDKにおいて修正した次の脆弱性は、CVE-2016-3422に関するもので、Java SEおよび2Dコンポーネントにおける問題を介してDOSの脅威をもたらすものです。この脅威は、CVSS基本値は5、現状値は3.7で、信頼できるコードを実行するサンドボックス化されたJavaサーバー環境には影響を及ぼしません。
CVE-2016-0695は、脅威の度合いが比較的低い脆弱性であり、ネットワークでの情報漏えいのリスクをもたらすものです。この脅威のCVSS基本値および現状値は低めで、それぞれ2.6と1.9です。他のJavaの脆弱性と同じく、4月に発見されました。
また、IBMは、4月に発見された詳細不明の脆弱性、CVE-2016-3426に対するOracleのパッチの再配布も行っています。被害者の情報が漏えいされる脅威をもたらすもので、中程度~軽度の脅威です。
CVE-2016-0636によって確認された、特にたちの悪い脆弱性も修正されました。最初に3月に発見された、Oracle Java SEバージョン6~8におけるこの脆弱性では、特別に作られたウェブサイトに被害者が訪問するようしむけることにより、リモートの攻撃者がシステム上で任意のコードを実行できる可能性があります。CVSS基本値は9.3で、現状値は6.9です。
続いては、IBMが発見し、自身の技術について修正を行った脆弱性です。
1つめは、CVE-2016-0363で、これはIBM SDK、Java Technology Edition 6のIBM ORB実装における脆弱性について記述したものです。この脆弱性では、セキュリティ マネージャーの下で実行されている信頼できないコードが、その特権を引き上げさせることができてしまう可能性があります。この脆弱性は5月に発見され、CVSS基本値は8.1で、現状値は7.1です。
もうひとつのたちの悪い脆弱性は、IBM SDK、Java Technology Edition 6の複数のバージョンにおける問題、CVE-2016-0376に存在するものであり、攻撃者がサンドボックスを回避して任意のコードを実行できてしまう可能性があります。前述の脆弱性と同じく、CVSS基本値は8.1で、現状値は7.1です。
IBMが自身の技術について修正を行った最後の脆弱性は、IBMのJVMにおけるバッファ オーバーフローの問題で、これはCVE-2016-0264として確認されています。IBMによれば、5月に発見したこの脆弱性は、特定の状況でのみ悪用されるとのことです。CVSS基本値は5.6、現状値は4.9で、中程度の脅威ということになります。