製品・ソフトウェアに関する情報

JVN脆弱性詳細

Sun Java SE および OpenJDK の Abstract Window Toolkit (AWT) における情報漏えいの脆弱性

Title	Sun Java SE および OpenJDK の Abstract Window Toolkit (AWT) における情報漏えいの脆弱性
Summary	Sun Java SE および OpenJDK の Abstract Window Toolkit (AWT) には、オブジェクトがログを送信することを適切に制限しないため、　情報漏えいの脆弱性が存在します。
Possible impacts	攻撃者に重要な情報を取得される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Nov. 9, 2009, midnight
Registration Date	Dec. 22, 2009, 2:06 p.m.
Last Update	Feb. 23, 2010, 11:51 a.m.

CVSS2.0 : 警告
Score	5
Vector	AV:N/AC:L/Au:N/C:P/I:N/A:N

Affected System

サン・マイクロシステムズ

OpenJDK

Sun Java SE 5.0 Update 22

Sun Java SE 6.0 Update 17

レッドハット

Red Hat Enterprise Linux 5 (server)

Red Hat Enterprise Linux Desktop 5.0 (client)

Red Hat Enterprise Linux EUS 5.4.z (server)

Red Hat Enterprise Linux Extras 4 extras

Red Hat Enterprise Linux Extras 4.8.z extras

RHEL Desktop Supplementary 5 (client)

RHEL Supplementary 5 (server)

RHEL Supplementary EUS 5.4.z (server)

サイバートラスト株式会社

Asianux Server 3 (x86)

Asianux Server 3 (x86-64)

VMware

VMware ESX 3.0.3

VMware ESX 3.5

VMware ESX 4.0

VMware Server 2.0

VMware vCenter 4.0

VMware VirtualCenter 2.0.2

VMware VirtualCenter 2.5

VMware vMA 4.0

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2009-3880	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3880
National Vulnerability Database (NVD)
2	CVE-2009-3880	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3880

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-264	https://jvndb.jvn.jp/ja/cwe/CWE-264.html

ベンダー情報

No	Name	URL
Asianux Technical Support Network
1	jdk-1.6.0_17	https://tsn.miraclelinux.com/tsn_local/index.php?m=errata&a=detail&eid=772
Red Hat Security Advisory
2	RHSA-2009-1560	https://rhn.redhat.com/errata/RHSA-2009-1560.html
3	RHSA-2009-1571	https://rhn.redhat.com/errata/RHSA-2009-1571.html
4	RHSA-2009-1584	https://rhn.redhat.com/errata/RHSA-2009-1584.html
Sun
5	Changes in 1.5.0_22	http://java.sun.com/j2se/1.5.0/ReleaseNotes.html
6	Changes in 1.6.0_17	http://java.sun.com/javase/6/webnotes/6u17.html
VMware Security Advisories
7	VMSA-2010-0002	http://www.vmware.com/security/advisories/VMSA-2010-0002.html
レッドハットセキュリティーアップデート
8	RHSA-2009-1560	http://www.jp.redhat.com/support/errata/RHSA/RHSA-2009-1560J.html
9	RHSA-2009-1571	http://www.jp.redhat.com/support/errata/RHSA/RHSA-2009-1571J.html
10	RHSA-2009-1584	http://www.jp.redhat.com/support/errata/RHSA/RHSA-2009-1584J.html

Change Log

No	Changed Details	Date of change
0	[2009年12月22日] 掲載 [2010年02月23日] 影響を受けるシステム：VMware (VMSA-2010-0002) の情報を追加ベンダ情報：VMware (VMSA-2010-0002) を追加	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2009-3880

Summary	The Abstract Window Toolkit (AWT) in Java Runtime Environment (JRE) in Sun Java SE 5.0 before Update 22 and 6 before Update 17, and OpenJDK, does not properly restrict the objects that may be sent to loggers, which allows attackers to obtain sensitive information via vectors related to the implementation of Component, KeyboardFocusManager, and DefaultKeyboardFocusManager, aka Bug Id 6664512.
Publication Date	Nov. 10, 2009, 4:30 a.m.
Registration Date	Jan. 29, 2021, 1:25 p.m.
Last Update	Sept. 19, 2017, 10:29 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:sun:jre:1.5.0:update10::::::
cpe:2.3:a:sun:jre:1.5.0:update_1::::::
cpe:2.3:a:sun:jre:1.5.0:update_11::::::
cpe:2.3:a:sun:jre:1.5.0:update_12::::::
cpe:2.3:a:sun:jre:1.5.0:update_13::::::
cpe:2.3:a:sun:jre:1.5.0:update_14::::::
cpe:2.3:a:sun:jre:1.5.0:update_15::::::
cpe:2.3:a:sun:jre:1.5.0:update_16::::::
cpe:2.3:a:sun:jre:1.5.0:update_17::::::
cpe:2.3:a:sun:jre:1.5.0:update_18::::::
cpe:2.3:a:sun:jre:1.5.0:update_19::::::
cpe:2.3:a:sun:jre:1.5.0:update_2::::::
cpe:2.3:a:sun:jre:1.5.0:update_20::::::
cpe:2.3:a:sun:jre::update_21::::::*		1.5.0
cpe:2.3:a:sun:jre:1.5.0:update_3::::::
cpe:2.3:a:sun:jre:1.5.0:update_4::::::
cpe:2.3:a:sun:jre:1.5.0:update_5::::::
cpe:2.3:a:sun:jre:1.5.0:update_6::::::
cpe:2.3:a:sun:jre:1.5.0:update_7::::::
cpe:2.3:a:sun:jre:1.5.0:update_8::::::
cpe:2.3:a:sun:jre:1.5.0:update_9::::::
cpe:2.3:a:sun:jre:1.6.0:update_1::::::
cpe:2.3:a:sun:jre:1.6.0:update_10::::::
cpe:2.3:a:sun:jre:1.6.0:update_11::::::
cpe:2.3:a:sun:jre:1.6.0:update_12::::::
cpe:2.3:a:sun:jre:1.6.0:update_13::::::
cpe:2.3:a:sun:jre:1.6.0:update_14::::::
cpe:2.3:a:sun:jre:1.6.0:update_15::::::
cpe:2.3:a:sun:jre::update_16::::::*		1.6.0
cpe:2.3:a:sun:jre:1.6.0:update_2::::::
cpe:2.3:a:sun:jre:1.6.0:update_3::::::
cpe:2.3:a:sun:jre:1.6.0:update_4::::::
cpe:2.3:a:sun:jre:1.6.0:update_5::::::
cpe:2.3:a:sun:jre:1.6.0:update_6::::::
cpe:2.3:a:sun:jre:1.6.0:update_7::::::
cpe:2.3:a:sun:jre:1.6.0:update_8::::::
cpe:2.3:a:sun:jre:1.6.0:update_9::::::
cpe:2.3:a:sun:openjdk::::::::

Related information, measures and tools

No	URL	refsource	タグ
1	http://java.sun.com/j2se/1.5.0/ReleaseNotes.html	CONFIRM	Vendor Advisory
2	http://java.sun.com/javase/6/webnotes/6u17.html	CONFIRM	Vendor Advisory
3	http://secunia.com/advisories/37386	SECUNIA
4	http://security.gentoo.org/glsa/glsa-200911-02.xml	GENTOO
5	http://www.mandriva.com/security/advisories?name=MDVSA-2010:084	MANDRIVA
6	https://bugzilla.redhat.com/show_bug.cgi?id=530296	CONFIRM
7	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A10761	OVAL
8	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A7316	OVAL

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-264	認可・権限・アクセス制御	https://cwe.mitre.org/data/definitions/264.html

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:sun:jre:1.5.0:update10::::::
cpe:2.3:a:sun:jre:1.5.0:update_1::::::
cpe:2.3:a:sun:jre:1.5.0:update_11::::::
cpe:2.3:a:sun:jre:1.5.0:update_12::::::
cpe:2.3:a:sun:jre:1.5.0:update_13::::::
cpe:2.3:a:sun:jre:1.5.0:update_14::::::
cpe:2.3:a:sun:jre:1.5.0:update_15::::::
cpe:2.3:a:sun:jre:1.5.0:update_16::::::
cpe:2.3:a:sun:jre:1.5.0:update_17::::::
cpe:2.3:a:sun:jre:1.5.0:update_18::::::
cpe:2.3:a:sun:jre:1.5.0:update_19::::::
cpe:2.3:a:sun:jre:1.5.0:update_2::::::
cpe:2.3:a:sun:jre:1.5.0:update_20::::::
cpe:2.3:a:sun:jre::update_21::::::*		1.5.0
cpe:2.3:a:sun:jre:1.5.0:update_3::::::
cpe:2.3:a:sun:jre:1.5.0:update_4::::::
cpe:2.3:a:sun:jre:1.5.0:update_5::::::
cpe:2.3:a:sun:jre:1.5.0:update_6::::::
cpe:2.3:a:sun:jre:1.5.0:update_7::::::
cpe:2.3:a:sun:jre:1.5.0:update_8::::::
cpe:2.3:a:sun:jre:1.5.0:update_9::::::
cpe:2.3:a:sun:jre:1.6.0:update_1::::::
cpe:2.3:a:sun:jre:1.6.0:update_10::::::
cpe:2.3:a:sun:jre:1.6.0:update_11::::::
cpe:2.3:a:sun:jre:1.6.0:update_12::::::
cpe:2.3:a:sun:jre:1.6.0:update_13::::::
cpe:2.3:a:sun:jre:1.6.0:update_14::::::
cpe:2.3:a:sun:jre:1.6.0:update_15::::::
cpe:2.3:a:sun:jre::update_16::::::*		1.6.0
cpe:2.3:a:sun:jre:1.6.0:update_2::::::
cpe:2.3:a:sun:jre:1.6.0:update_3::::::
cpe:2.3:a:sun:jre:1.6.0:update_4::::::
cpe:2.3:a:sun:jre:1.6.0:update_5::::::
cpe:2.3:a:sun:jre:1.6.0:update_6::::::
cpe:2.3:a:sun:jre:1.6.0:update_7::::::
cpe:2.3:a:sun:jre:1.6.0:update_8::::::
cpe:2.3:a:sun:jre:1.6.0:update_9::::::
cpe:2.3:a:sun:openjdk::::::::