製品・ソフトウェアに関する情報

JVN脆弱性詳細

Oracle Java SE および JavaFX の Java Runtime Environment における任意のコードを実行される脆弱性

Title	Oracle Java SE および JavaFX の Java Runtime Environment における任意のコードを実行される脆弱性
Summary	Oracle Java SE および JavaFX の Java Runtime Environment (JRE) には、2D に関する処理に不備があるため、任意のコードを実行される脆弱性が存在します。本脆弱性は、CanSecWest 2013 の Pwn2Own コンペティションにおいて実証されました。
Possible impacts	第三者により、任意のコードを実行される可能性があります。
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	March 8, 2013, midnight
Registration Date	March 11, 2013, 4:50 p.m.
Last Update	March 18, 2015, 4:06 p.m.

CVSS2.0 : 危険
Score	10
Vector	AV:N/AC:L/Au:N/C:C/I:C/A:C

Affected System

オラクル

JavaFX 2.2.7 およびそれ以前

JDK 5.0 Update 41 およびそれ以前

JDK 6 Update 43 およびそれ以前

JDK 7 Update 17

JDK 7 Update 17 およびそれ以前

JRE 5.0 Update 41 およびそれ以前

JRE 6 Update 43 およびそれ以前

JRE 7 Update 17

JRE 7 Update 17 およびそれ以前

アップル

Apple Mac OS X v10.6.8

Apple Mac OS X v10.7 およびそれ以降

Apple Mac OS X v10.8 およびそれ以降

Apple Mac OS X Server v10.6.8

Apple Mac OS X Server v10.7 およびそれ以降

日立

Cosminexus Application Server Enterprise Version 6

Cosminexus Application Server Standard Version 6

Cosminexus Application Server Version 5

Cosminexus Client Version 6

Cosminexus Developer Light Version 6

Cosminexus Developer Professional Version 6

Cosminexus Developer Standard Version 6

Cosminexus Developer Version 5

Cosminexus Developer's Kit for Java(TM)

Cosminexus Primary Server Base

Cosminexus Server - Standard Edition Version 4

Cosminexus Server - Web Edition Version 4

Cosminexus Studio - Standard Edition Version 4

Cosminexus Studio - Web Edition Version 4

Cosminexus Studio Version 5

uCosminexus Application Server -R

uCosminexus Application Server Express

uCosminexus Application Server Light

uCosminexus Application Server Standard-R

uCosminexus Application Server Enterprise

uCosminexus Application Server Smart Edition

uCosminexus Application Server Standard

uCosminexus Client

uCosminexus Client for Plug-in

uCosminexus Developer 01

uCosminexus Developer Professional

uCosminexus Developer Professional for Plug-in

uCosminexus Developer Light

uCosminexus Developer Standard

uCosminexus Operator

uCosminexus Primary Server Base

uCosminexus Server Standard-R

uCosminexus Service Architect

uCosminexus Service Platform

uCosminexus Service Platform - Messaging

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2013-1491	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1491
National Vulnerability Database (NVD)
2	CVE-2013-1491	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-1491

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-94	https://jvndb.jvn.jp/ja/cwe/CWE-94.html

ベンダー情報

No	Name	URL
Apple Mailing Lists
1	APPLE-SA-2013-04-16-2	http://lists.apple.com/archives/security-announce/2013/Apr/msg00001.html
Apple Security Updates
2	HT5734	http://support.apple.com/kb/HT5734
Apple セキュリティアップデート
3	HT5734	http://support.apple.com/kb/HT5734?viewlocale=ja_JP
Hitachi Software Vulnerability Information
4	HS13-010	http://www.hitachi.co.jp/Prod/comp/soft1/global/security/info/vuls/HS13-010/index.html
HP Support document
5	HPSBUX02889 SSRT101252	http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c03809278
6	HPSBUX02922 SSRT101305	http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c03898880
opensuse-security-announce
7	SUSE-SU-2013:0835	http://lists.opensuse.org/opensuse-security-announce/2013-05/msg00013.html
8	SUSE-SU-2013:0871	http://lists.opensuse.org/opensuse-security-announce/2013-06/msg00001.html
9	SUSE-SU-2013:0934	http://lists.opensuse.org/opensuse-security-announce/2013-06/msg00007.html
Oracle
10	Oracle and Java	http://www.oracle.com/us/technologies/java/index.html
Oracle Critical Patch Update
11	Oracle Java SE Critical Patch Update Advisory - April 2013	http://www.oracle.com/technetwork/topics/security/javacpuapr2013-1928497.html
12	Text Form of Oracle Java SE Critical Patch Update - April 2013 Risk Matrices	http://www.oracle.com/technetwork/topics/security/javacpuapr2013verbose-1928687.html
Red Hat Security Advisory
13	RHSA-2013:0757	http://rhn.redhat.com/errata/RHSA-2013-0757.html
14	RHSA-2013:0758	http://rhn.redhat.com/errata/RHSA-2013-0758.html
15	RHSA-2013:1455	http://rhn.redhat.com/errata/RHSA-2013-1455.html
16	RHSA-2013:1456	http://rhn.redhat.com/errata/RHSA-2013-1456.html
SECURITY BLOG
17	April 2013 Critical Patch Update for Java SE Released	https://blogs.oracle.com/security/entry/april_2013_critical_patch_update1
Turbolinux Security Advisory
18	TLSA-2013-2	http://www.turbolinux.co.jp/security/2013/TLSA-2013-2j.html
ソフトウェア製品セキュリティ情報
19	HS13-010	http://www.hitachi.co.jp/Prod/comp/soft1/security/info/vuls/HS13-010/index.html
富士通セキュリティ情報
20	Oracle Corporation Javaプラグインの脆弱性に関するお知らせ	http://www.fmworld.net/biz/common/oracle/20130417.html

その他

No	Name	URL
IPA 重要なセキュリティ情報
1	Oracle Java の脆弱性対策について(CVE-2013-2383等)	http://www.ipa.go.jp/security/ciadr/vul/20130417-jre.html
JPCERT 注意喚起
2	JPCERT-AT-2013-0021	https://www.jpcert.or.jp/at/2013/at130021.txt
JVN
3	JVNTA13-107A	http://jvn.jp/cert/JVNTA13-107A/index.html
US-CERT Technical Cyber Security Alert
4	TA13-107A	https://www.us-cert.gov/ncas/alerts/TA13-107A
関連文書
5	Pwn2Own 2013	http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/Pwn2Own-2013/ba-p/5981157
6	Pwn2Own 2013: Java 7 SE Memory Corruption	http://blog.accuvantlabs.com/blog/jdrake/pwn2own-2013-java-7-se-memory-corruption
7	Pwn2Own: Down go all the browsers - ZDNet	http://www.zdnet.com/pwn2own-down-go-all-the-browsers-7000012283/

Change Log

No	Changed Details	Date of change
0	[2013年03月11日] 掲載 [2013年03月12日] 概要：内容を更新 [2013年04月22日] タイトル：内容を更新概要：内容を更新影響を受けるシステム：オラクル (Oracle Java SE Critical Patch Update Advisory - April 2013) の情報を更新影響を受けるシステム：アップル (HT5734) の情報を更新ベンダ情報：オラクル (Oracle Java SE Critical Patch Update Advisory - April 2013) を追加ベンダ情報：オラクル (Text Form of Oracle Java SE Critical Patch Update - April 2013 Risk Matrices) を追加ベンダ情報：オラクル (April 2013 Critical Patch Update for Java SE Released) を追加ベンダ情報：アップル (HT5734) を追加ベンダ情報：富士通 (Oracle Corporation Javaプラグインの脆弱性に関するお知らせ) を追加 [2013年04月24日] 影響を受けるシステム：日立 (HS13-010) の情報を追加ベンダ情報：日立 (HS13-010) を追加 [2013年06月17日] ベンダ情報：レッドハット (RHSA-2013:0758) を追加ベンダ情報：レッドハット (RHSA-2013:0757) を追加ベンダ情報：Novell (SUSE-SU-2013:0835) を追加 [2013年06月28日] ベンダ情報：Novell (SUSE-SU-2013:0934) を追加ベンダ情報：Novell (SUSE-SU-2013:0871) を追加 [2013年08月12日] ベンダ情報：ターボリナックス (TLSA-2013-2) を追加 [2013年11月08日] ベンダ情報：ヒューレット・パッカード (HPSBUX02889 SSRT101252) を追加ベンダ情報：ヒューレット・パッカード (HPSBUX02922 SSRT101305) を追加ベンダ情報：レッドハット (RHSA-2013:1455) を追加ベンダ情報：レッドハット (RHSA-2013:1456) を追加 [2013年12月05日] ベンダ情報：アップル (APPLE-SA-2013-04-16-2) を追加 [2015年03月18日] 影響を受けるシステム：内容を更新	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2013-1491

Summary	The Java Runtime Environment (JRE) component in Oracle Java SE 7 Update 17 and earlier, 6 Update 43 and earlier, 5.0 Update 41 and earlier, and JavaFX 2.2.7 and earlier allows remote attackers to execute arbitrary code via vectors related to 2D, as demonstrated by Joshua Drake during a Pwn2Own competition at CanSecWest 2013.
Publication Date	March 9, 2013, 3:55 a.m.
Registration Date	Jan. 26, 2021, 3:36 p.m.
Last Update	Nov. 21, 2024, 10:49 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:oracle:jdk:1.7.0:update17::::::
cpe:2.3:a:oracle:jre:1.7.0:update17::::::

Related information, measures and tools

No	URL	タグ
1	http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c03898880
2	http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c03898880
3	http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c03898880
4	http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c03898880
5	http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/Pwn2Own-2013/ba-p/5981157
6	http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/Pwn2Own-2013/ba-p/5981157
7	http://lists.apple.com/archives/security-announce/2013/Apr/msg00001.html
8	http://lists.apple.com/archives/security-announce/2013/Apr/msg00001.html
9	http://lists.opensuse.org/opensuse-security-announce/2013-05/msg00013.html
10	http://lists.opensuse.org/opensuse-security-announce/2013-05/msg00013.html
11	http://lists.opensuse.org/opensuse-security-announce/2013-06/msg00001.html
12	http://lists.opensuse.org/opensuse-security-announce/2013-06/msg00001.html
13	http://lists.opensuse.org/opensuse-security-announce/2013-06/msg00007.html
14	http://lists.opensuse.org/opensuse-security-announce/2013-06/msg00007.html
15	http://marc.info/?l=bugtraq&m=137283787217316&w=2
16	http://marc.info/?l=bugtraq&m=137283787217316&w=2
17	http://marc.info/?l=bugtraq&m=137283787217316&w=2
18	http://marc.info/?l=bugtraq&m=137283787217316&w=2
19	http://rhn.redhat.com/errata/RHSA-2013-0757.html
20	http://rhn.redhat.com/errata/RHSA-2013-0757.html
21	http://rhn.redhat.com/errata/RHSA-2013-0758.html
22	http://rhn.redhat.com/errata/RHSA-2013-0758.html
23	http://rhn.redhat.com/errata/RHSA-2013-1455.html
24	http://rhn.redhat.com/errata/RHSA-2013-1455.html
25	http://rhn.redhat.com/errata/RHSA-2013-1456.html
26	http://rhn.redhat.com/errata/RHSA-2013-1456.html
27	http://www.oracle.com/technetwork/topics/security/javacpuapr2013-1928497.html
28	http://www.oracle.com/technetwork/topics/security/javacpuapr2013-1928497.html
29	http://www.us-cert.gov/ncas/alerts/TA13-107A	US Government Resource
30	http://www.us-cert.gov/ncas/alerts/TA13-107A	US Government Resource
31	http://www.zdnet.com/pwn2own-down-go-all-the-browsers-7000012283/
32	http://www.zdnet.com/pwn2own-down-go-all-the-browsers-7000012283/
33	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A16663
34	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A16663
35	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A19482
36	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A19482
37	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A19553
38	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A19553
39	https://twitter.com/thezdi/status/309438311112507392
40	https://twitter.com/thezdi/status/309438311112507392

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-94	コード・インジェクション	https://cwe.mitre.org/data/definitions/94.html