製品・ソフトウェアに関する情報

JVN脆弱性詳細

Java Web Start における設定ファイル読み込みに関する脆弱性

Title	Java Web Start における設定ファイル読み込みに関する脆弱性
Summary	Oracle の提供する Java Web Start には、設定ファイルの読み込みに関する脆弱性が存在します。 Java Web Start は、Oracle が提供する JRE (Java Runtime Environment) 等の Java 実行環境に含まれるソフトウェアです。Java Web Start には、設定ファイル読み込み処理に問題があり、意図しない設定ファイルを読み込んでしまう脆弱性が存在します。この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。報告者: 株式会社富士通研究所兒島尚氏
Possible impacts	読み込んだ設定によって制限が回避され、任意のコードを実行される可能性があります。
Solution	[アップデートする] 開発者が提供する情報をもとに最新版へアップデートしてください。
Publication Date	June 10, 2011, midnight
Registration Date	June 10, 2011, 11:03 a.m.
Last Update	March 26, 2013, 2:44 p.m.

CVSS2.0 : 警告
Score	6.8
Vector	AV:N/AC:M/Au:N/C:P/I:P/A:P

Affected System

サン・マイクロシステムズ

JDK 6 Update 25 およびそれ以前（Windows版）

JRE 6 Update 25 およびそれ以前（Windows版）

ヒューレット・パッカード

HP Systems Insight Manager 7.0 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2011-0786	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0786
National Vulnerability Database (NVD)
2	CVE-2011-0786	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-0786

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	Name	URL
HP Security Bulletin
1	HPSBMU02769 SSRT100846	http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c03298151
Oracle Critical Patch Update
2	javacpujune2011-313339	http://www.oracle.com/technetwork/topics/security/javacpujune2011-313339.html

その他

No	Name	URL
IPA 重要なセキュリティ情報
1	「Java Web Start」における3件のセキュリティ上の弱点（脆弱性）の注意喚起	http://www.ipa.go.jp/about/press/20110610.html
JPCERT 緊急報告
2	JPCERT-AT-2011-0015	http://www.jpcert.or.jp/at/2011/at110015.txt
JVN
3	JVN#09206238	http://jvn.jp/jp/JVN09206238/
警察庁 @police
4	アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて(2011年06月06日)	http://www.npa.go.jp/cyberpolice/#topics

Change Log

No	Changed Details	Date of change
0	[2011年06月10日] 掲載 [2013年03月26日] 影響を受けるシステム：ヒューレット・パッカード (HPSBMU02769 SSRT100846) の情報を追加ベンダ情報：ヒューレット・パッカード (HPSBMU02769 SSRT100846) を追加	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2011-0786

Summary	Unspecified vulnerability in the Java Runtime Environment (JRE) component in Oracle Java SE 6 Update 25 and earlier, when running on Windows, allows remote untrusted Java Web Start applications and untrusted Java applets to affect confidentiality, integrity, and availability via unknown vectors related to Deployment, a different vulnerability than CVE-2011-0788.
Publication Date	June 15, 2011, 3:55 a.m.
Registration Date	Jan. 28, 2021, 4:37 p.m.
Last Update	Nov. 21, 2024, 10:24 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:sun:jdk::update_25::::::*			1.6.0
cpe:2.3:a:sun:jdk:1.6.0:update_17::::::
cpe:2.3:a:sun:jdk:1.6.0:update_14::::::
cpe:2.3:a:sun:jdk:1.6.0:::::::*
cpe:2.3:a:sun:jdk:1.6.0:update_5::::::
cpe:2.3:a:sun:jdk:1.6.0:update_23::::::
cpe:2.3:a:sun:jdk:1.6.0:update2::::::
cpe:2.3:a:sun:jdk:1.6.0:update_21::::::
cpe:2.3:a:sun:jdk:1.6.0:update_16::::::
cpe:2.3:a:sun:jdk:1.6.0:update1::::::
cpe:2.3:a:sun:jdk:1.6.0:update_7::::::
cpe:2.3:a:sun:jdk:1.6.0:update_19::::::
cpe:2.3:a:sun:jdk:1.6.0:update_13::::::
cpe:2.3:a:sun:jdk:1.6.0:update_24::::::
cpe:2.3:a:sun:jdk:1.6.0:update_3::::::
cpe:2.3:a:sun:jdk:1.6.0:update_22::::::
cpe:2.3:a:sun:jdk:1.6.0:update_4::::::
cpe:2.3:a:sun:jdk:1.6.0:update_11::::::
cpe:2.3:a:sun:jdk:1.6.0:update_10::::::
cpe:2.3:a:sun:jdk:1.6.0:update_18::::::
cpe:2.3:a:sun:jdk:1.6.0:update_6::::::
cpe:2.3:a:sun:jdk:1.6.0:update_20::::::
cpe:2.3:a:sun:jdk:1.6.0:update_15::::::
cpe:2.3:a:sun:jdk:1.6.0:update_12::::::
cpe:2.3:a:sun:jre::update_25::::::*			1.6.0
cpe:2.3:a:sun:jre:1.6.0:update_4::::::
cpe:2.3:a:sun:jre:1.6.0:update_12::::::
cpe:2.3:a:sun:jre:1.6.0:update_11::::::
cpe:2.3:a:sun:jre:1.6.0:update_15::::::
cpe:2.3:a:sun:jre:1.6.0:update_22::::::
cpe:2.3:a:sun:jre:1.6.0:update_6::::::
cpe:2.3:a:sun:jre:1.6.0:update_20::::::
cpe:2.3:a:sun:jre:1.6.0:update_3::::::
cpe:2.3:a:sun:jre:1.6.0:update_5::::::
cpe:2.3:a:sun:jre:1.6.0:update_16::::::
cpe:2.3:a:sun:jre:1.6.0:update_13::::::
cpe:2.3:a:sun:jre:1.6.0:update_24::::::
cpe:2.3:a:sun:jre:1.6.0:update_1::::::
cpe:2.3:a:sun:jre:1.6.0:update_2::::::
cpe:2.3:a:sun:jre:1.6.0:update_17::::::
cpe:2.3:a:sun:jre:1.6.0:update_21::::::
cpe:2.3:a:sun:jre:1.6.0:update_7::::::
cpe:2.3:a:sun:jre:1.6.0:update_14::::::
cpe:2.3:a:sun:jre:1.6.0:update_23::::::
cpe:2.3:a:sun:jre:1.6.0:update_10::::::
cpe:2.3:a:sun:jre:1.6.0:update_18::::::
cpe:2.3:a:sun:jre:1.6.0:update_19::::::
cpe:2.3:a:sun:jre:1.6.0:::::::*
execution environment
1	cpe:2.3:o:microsoft:windows::::::::

Related information, measures and tools

No	URL	タグ
1	http://lists.opensuse.org/opensuse-security-announce/2011-06/msg00003.html
2	http://lists.opensuse.org/opensuse-security-announce/2011-07/msg00003.html
3	http://lists.opensuse.org/opensuse-security-announce/2011-07/msg00009.html
4	http://lists.opensuse.org/opensuse-security-announce/2011-08/msg00001.html
5	http://lists.opensuse.org/opensuse-security-announce/2011-08/msg00002.html
6	http://lists.opensuse.org/opensuse-security-announce/2011-08/msg00022.html
7	http://lists.opensuse.org/opensuse-security-announce/2011-08/msg00025.html
8	http://marc.info/?l=bugtraq&m=132439520301822&w=2
9	http://marc.info/?l=bugtraq&m=132439520301822&w=2
10	http://marc.info/?l=bugtraq&m=134254866602253&w=2
11	http://marc.info/?l=bugtraq&m=134254957702612&w=2
12	http://marc.info/?l=bugtraq&m=134254957702612&w=2
13	http://secunia.com/advisories/44930
14	http://www.ibm.com/developerworks/java/jdk/alerts/
15	http://www.oracle.com/technetwork/topics/security/javacpujune2011-313339.html	Patch Vendor Advisory
16	http://www.securityfocus.com/bid/48133
17	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A14382
18	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A14604
19	http://lists.opensuse.org/opensuse-security-announce/2011-06/msg00003.html
20	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A14604
21	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A14382
22	http://www.securityfocus.com/bid/48133
23	http://www.oracle.com/technetwork/topics/security/javacpujune2011-313339.html	Patch Vendor Advisory
24	http://www.ibm.com/developerworks/java/jdk/alerts/
25	http://secunia.com/advisories/44930
26	http://marc.info/?l=bugtraq&m=134254957702612&w=2
27	http://marc.info/?l=bugtraq&m=134254957702612&w=2
28	http://marc.info/?l=bugtraq&m=134254866602253&w=2
29	http://marc.info/?l=bugtraq&m=132439520301822&w=2
30	http://marc.info/?l=bugtraq&m=132439520301822&w=2
31	http://lists.opensuse.org/opensuse-security-announce/2011-08/msg00025.html
32	http://lists.opensuse.org/opensuse-security-announce/2011-08/msg00022.html
33	http://lists.opensuse.org/opensuse-security-announce/2011-08/msg00002.html
34	http://lists.opensuse.org/opensuse-security-announce/2011-08/msg00001.html
35	http://lists.opensuse.org/opensuse-security-announce/2011-07/msg00009.html
36	http://lists.opensuse.org/opensuse-security-announce/2011-07/msg00003.html

Common Vulnerabilities List

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:sun:jdk::update_25::::::*			1.6.0
cpe:2.3:a:sun:jdk:1.6.0:update_17::::::
cpe:2.3:a:sun:jdk:1.6.0:update_14::::::
cpe:2.3:a:sun:jdk:1.6.0:::::::*
cpe:2.3:a:sun:jdk:1.6.0:update_5::::::
cpe:2.3:a:sun:jdk:1.6.0:update_23::::::
cpe:2.3:a:sun:jdk:1.6.0:update2::::::
cpe:2.3:a:sun:jdk:1.6.0:update_21::::::
cpe:2.3:a:sun:jdk:1.6.0:update_16::::::
cpe:2.3:a:sun:jdk:1.6.0:update1::::::
cpe:2.3:a:sun:jdk:1.6.0:update_7::::::
cpe:2.3:a:sun:jdk:1.6.0:update_19::::::
cpe:2.3:a:sun:jdk:1.6.0:update_13::::::
cpe:2.3:a:sun:jdk:1.6.0:update_24::::::
cpe:2.3:a:sun:jdk:1.6.0:update_3::::::
cpe:2.3:a:sun:jdk:1.6.0:update_22::::::
cpe:2.3:a:sun:jdk:1.6.0:update_4::::::
cpe:2.3:a:sun:jdk:1.6.0:update_11::::::
cpe:2.3:a:sun:jdk:1.6.0:update_10::::::
cpe:2.3:a:sun:jdk:1.6.0:update_18::::::
cpe:2.3:a:sun:jdk:1.6.0:update_6::::::
cpe:2.3:a:sun:jdk:1.6.0:update_20::::::
cpe:2.3:a:sun:jdk:1.6.0:update_15::::::
cpe:2.3:a:sun:jdk:1.6.0:update_12::::::
cpe:2.3:a:sun:jre::update_25::::::*			1.6.0
cpe:2.3:a:sun:jre:1.6.0:update_4::::::
cpe:2.3:a:sun:jre:1.6.0:update_12::::::
cpe:2.3:a:sun:jre:1.6.0:update_11::::::
cpe:2.3:a:sun:jre:1.6.0:update_15::::::
cpe:2.3:a:sun:jre:1.6.0:update_22::::::
cpe:2.3:a:sun:jre:1.6.0:update_6::::::
cpe:2.3:a:sun:jre:1.6.0:update_20::::::
cpe:2.3:a:sun:jre:1.6.0:update_3::::::
cpe:2.3:a:sun:jre:1.6.0:update_5::::::
cpe:2.3:a:sun:jre:1.6.0:update_16::::::
cpe:2.3:a:sun:jre:1.6.0:update_13::::::
cpe:2.3:a:sun:jre:1.6.0:update_24::::::
cpe:2.3:a:sun:jre:1.6.0:update_1::::::
cpe:2.3:a:sun:jre:1.6.0:update_2::::::
cpe:2.3:a:sun:jre:1.6.0:update_17::::::
cpe:2.3:a:sun:jre:1.6.0:update_21::::::
cpe:2.3:a:sun:jre:1.6.0:update_7::::::
cpe:2.3:a:sun:jre:1.6.0:update_14::::::
cpe:2.3:a:sun:jre:1.6.0:update_23::::::
cpe:2.3:a:sun:jre:1.6.0:update_10::::::
cpe:2.3:a:sun:jre:1.6.0:update_18::::::
cpe:2.3:a:sun:jre:1.6.0:update_19::::::
cpe:2.3:a:sun:jre:1.6.0:::::::*
execution environment
1	cpe:2.3:o:microsoft:windows::::::::