製品・ソフトウェアに関する情報

JVN脆弱性詳細

Oracle Java SE の Java Runtime Environment における JAX-WS の処理に関する脆弱性

Title	Oracle Java SE の Java Runtime Environment における JAX-WS の処理に関する脆弱性
Summary	Oracle Java SE の Java Runtime Environment (JRE) および OpenJDK には、JAX-WS に関する処理に不備があるため、機密性に影響のある脆弱性が存在します。本情報は、April 2013 Critical Patch Update (CPU) に基づく脆弱性情報です。他のベンダが、本脆弱性は「MTOM 添付ファイルの処理」、および脆弱なパーミッションを持つ一時ファイルの作成に関連する問題であると主張していますが、オラクル社はコメントしていません。信頼されないアプレットおよび Web Start アプリケーションには、この問題は悪用できません。また、この問題を悪用するには、ローカルアクセスが必要です。
Possible impacts	ローカルユーザにより、情報を取得される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	April 16, 2013, midnight
Registration Date	April 22, 2013, 10:39 a.m.
Last Update	March 28, 2014, 6:23 p.m.

CVSS2.0 : 注意
Score	2.1
Vector	AV:L/AC:L/Au:N/C:P/I:N/A:N

Affected System

オラクル

JDK 7 Update 17 およびそれ以前

JRE 7 Update 17 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2013-2415	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2415
National Vulnerability Database (NVD)
2	CVE-2013-2415	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-2415

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-noinfo	https://www.ipa.go.jp/security/vuln/CWE.html#CWEnoinfo

ベンダー情報

No	Name	URL
opensuse-security-announce
1	SUSE-SU-2013:0814	http://lists.opensuse.org/opensuse-security-announce/2013-05/msg00007.html
opensuse-updates
2	openSUSE-SU-2013:0777	http://lists.opensuse.org/opensuse-updates/2013-05/msg00017.html
3	openSUSE-SU-2013:0964	http://lists.opensuse.org/opensuse-updates/2013-06/msg00099.html
Oracle
4	jdk7u/jdk7u-dev/jaxws / changeset	http://hg.openjdk.java.net/jdk7u/jdk7u-dev/jaxws/rev/e07c518282ba
Oracle Critical Patch Update
5	Oracle Java SE Critical Patch Update Advisory - April 2013	http://www.oracle.com/technetwork/topics/security/javacpuapr2013-1928497.html
6	Text Form of Oracle Java SE Critical Patch Update - April 2013 Risk Matrices	http://www.oracle.com/technetwork/topics/security/javacpuapr2013verbose-1928687.html
Red Hat Bugzilla
7	Bug 952389	https://bugzilla.redhat.com/show_bug.cgi?id=952389
Red Hat Security Advisory
8	RHSA-2013:0752 Important: java-1.7.0-openjdk security update	http://rhn.redhat.com/errata/RHSA-2013-0752.html
9	RHSA-2013:0757 Critical: java-1.7.0-oracle security update	http://rhn.redhat.com/errata/RHSA-2013-0757.html
Security Advisories
10	MDVSA-2013:150	http://www.mandriva.com/security/advisories?name=MDVSA-2013:150
SECURITY BLOG
11	April 2013 Critical Patch Update for Java SE Released	https://blogs.oracle.com/security/entry/april_2013_critical_patch_update1
Turbolinux Security Advisory
12	TLSA-2013-2	http://www.turbolinux.co.jp/security/2013/TLSA-2013-2j.html
Ubuntu Security Notice
13	USN-1806-1	http://www.ubuntu.com/usn/USN-1806-1/
富士通セキュリティ情報
14	Oracle Corporation Javaプラグインの脆弱性に関するお知らせ	http://www.fmworld.net/biz/common/oracle/20130417.html

その他

No	Name	URL
IPA 重要なセキュリティ情報
1	Oracle Java の脆弱性対策について(CVE-2013-2383等)	http://www.ipa.go.jp/security/ciadr/vul/20130417-jre.html
JPCERT 注意喚起
2	JPCERT-AT-2013-0021	https://www.jpcert.or.jp/at/2013/at130021.txt
JVN
3	JVNTA13-107A	http://jvn.jp/cert/JVNTA13-107A/index.html
US-CERT Technical Cyber Security Alert
4	TA13-107A	https://www.us-cert.gov/ncas/alerts/TA13-107A
関連文書
5	GNU/Andrew's Blog: [SECURITY] IcedTea 1.11.11 & 1.12.5 for OpenJDK 6 Released!	http://blog.fuseyism.com/index.php/2013/04/25/security-icedtea-1-11-11-1-12-5-for-openjdk-6-released/
6	GNU/Andrew's Blog: [SECURITY] IcedTea 2.3.9 for OpenJDK 7 Released!	http://blog.fuseyism.com/index.php/2013/04/22/security-icedtea-2-3-9-for-openjdk-7-released/
7	MGASA-2013-0124	https://wiki.mageia.org/en/Support/Advisories/MGASA-2013-0124
8	MGASA-2013-0130	https://wiki.mageia.org/en/Support/Advisories/MGASA-2013-0130

Change Log

No	Changed Details	Date of change
0	[2013年04月22日] 掲載 [2013年06月18日] 　概要：内容を更新　ベンダ情報：オラクル (jdk7u/jdk7u-dev/jaxws / changeset) を追加　ベンダ情報：レッドハット (Bug 952389) を追加　ベンダ情報：レッドハット (RHSA-2013:0752) を追加　ベンダ情報：レッドハット (RHSA-2013:0757) を追加　ベンダ情報：Ubuntu (USN-1806-1) を追加　ベンダ情報：Novell (SUSE-SU-2013:0814) を追加　ベンダ情報：Novell (openSUSE-SU-2013:0777) を追加　参考情報：GNU/Andrew's Blog (IcedTea 1.11.11 & 1.12.5 for OpenJDK 6) を追加　参考情報：GNU/Andrew's Blog (IcedTea 2.3.9 for OpenJDK 7) を追加 [2013年07月05日] ベンダ情報：Novell (openSUSE-SU-2013:0964) を追加 [2013年08月12日] ベンダ情報：ターボリナックス (TLSA-2013-2) を追加 [2013年11月01日] ベンダ情報：Mandriva, Inc. (MDVSA-2013:150) を追加 [2014年03月28日] 参考情報：関連文書 (MGASA-2013-0124) を追加参考情報：関連文書 (MGASA-2013-0130) を追加	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2013-2415

Summary	Unspecified vulnerability in the Java Runtime Environment (JRE) component in Oracle Java SE 7 Update 17 and earlier, and OpenJDK 6 and 7, allows local users to affect confidentiality via vectors related to JAX-WS. NOTE: the previous information is from the April 2013 CPU. Oracle has not commented on claims from another vendor that this issue is related to "processing of MTOM attachments" and the creation of temporary files with weak permissions.
Publication Date	April 18, 2013, 3:55 a.m.
Registration Date	Jan. 26, 2021, 3:38 p.m.
Last Update	Nov. 21, 2024, 10:51 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:oracle:jre:1.7.0:update9::::::
cpe:2.3:a:oracle:jre:1.7.0:update15::::::
cpe:2.3:a:oracle:jre:1.7.0:update6::::::
cpe:2.3:a:oracle:jre::update17::::::*		1.7.0
cpe:2.3:a:oracle:jre:1.7.0:update3::::::
cpe:2.3:a:oracle:jre:1.7.0:update13::::::
cpe:2.3:a:oracle:jre:1.7.0:update10::::::
cpe:2.3:a:oracle:jre:1.7.0:update11::::::
cpe:2.3:a:oracle:jre:1.7.0:update2::::::
cpe:2.3:a:oracle:jre:1.7.0:update5::::::
cpe:2.3:a:oracle:jre:1.7.0:update4::::::
cpe:2.3:a:oracle:jre:1.7.0:::::::*
cpe:2.3:a:oracle:jre:1.7.0:update7::::::
cpe:2.3:a:oracle:jre:1.7.0:update1::::::

Configuration2	or higher	or less	more than	less than
cpe:2.3:a:oracle:jdk:1.7.0:update6::::::
cpe:2.3:a:oracle:jdk:1.7.0:update5::::::
cpe:2.3:a:oracle:jdk:1.7.0:update7::::::
cpe:2.3:a:oracle:jdk:1.7.0:update2::::::
cpe:2.3:a:oracle:jdk:1.7.0:update13::::::
cpe:2.3:a:oracle:jdk::update17::::::*		1.7.0
cpe:2.3:a:oracle:jdk:1.7.0:update11::::::
cpe:2.3:a:oracle:jdk:1.7.0:::::::*
cpe:2.3:a:oracle:jdk:1.7.0:update9::::::
cpe:2.3:a:oracle:jdk:1.7.0:update15::::::
cpe:2.3:a:oracle:jdk:1.7.0:update3::::::
cpe:2.3:a:oracle:jdk:1.7.0:update1::::::
cpe:2.3:a:oracle:jdk:1.7.0:update10::::::
cpe:2.3:a:oracle:jdk:1.7.0:update4::::::

Related information, measures and tools

No	URL	タグ
1	http://blog.fuseyism.com/index.php/2013/04/22/security-icedtea-2-3-9-for-openjdk-7-released/
2	http://blog.fuseyism.com/index.php/2013/04/22/security-icedtea-2-3-9-for-openjdk-7-released/
3	http://blog.fuseyism.com/index.php/2013/04/25/security-icedtea-1-11-11-1-12-5-for-openjdk-6-released/
4	http://blog.fuseyism.com/index.php/2013/04/25/security-icedtea-1-11-11-1-12-5-for-openjdk-6-released/
5	http://hg.openjdk.java.net/jdk7u/jdk7u-dev/jaxws/rev/e07c518282ba
6	http://hg.openjdk.java.net/jdk7u/jdk7u-dev/jaxws/rev/e07c518282ba
7	http://lists.opensuse.org/opensuse-security-announce/2013-05/msg00007.html
8	http://lists.opensuse.org/opensuse-security-announce/2013-05/msg00007.html
9	http://lists.opensuse.org/opensuse-updates/2013-05/msg00017.html
10	http://lists.opensuse.org/opensuse-updates/2013-05/msg00017.html
11	http://lists.opensuse.org/opensuse-updates/2013-06/msg00099.html
12	http://lists.opensuse.org/opensuse-updates/2013-06/msg00099.html
13	http://mail.openjdk.java.net/pipermail/distro-pkg-dev/2013-April/022796.html
14	http://mail.openjdk.java.net/pipermail/distro-pkg-dev/2013-April/022796.html
15	http://rhn.redhat.com/errata/RHSA-2013-0752.html
16	http://rhn.redhat.com/errata/RHSA-2013-0752.html
17	http://rhn.redhat.com/errata/RHSA-2013-0757.html
18	http://rhn.redhat.com/errata/RHSA-2013-0757.html
19	http://security.gentoo.org/glsa/glsa-201406-32.xml
20	http://security.gentoo.org/glsa/glsa-201406-32.xml
21	http://www.mandriva.com/security/advisories?name=MDVSA-2013:145
22	http://www.mandriva.com/security/advisories?name=MDVSA-2013:145
23	http://www.mandriva.com/security/advisories?name=MDVSA-2013:150
24	http://www.mandriva.com/security/advisories?name=MDVSA-2013:150
25	http://www.mandriva.com/security/advisories?name=MDVSA-2013:161
26	http://www.mandriva.com/security/advisories?name=MDVSA-2013:161
27	http://www.oracle.com/technetwork/topics/security/javacpuapr2013-1928497.html	Vendor Advisory
28	http://www.oracle.com/technetwork/topics/security/javacpuapr2013-1928497.html	Vendor Advisory
29	http://www.ubuntu.com/usn/USN-1806-1
30	http://www.ubuntu.com/usn/USN-1806-1
31	http://www.us-cert.gov/ncas/alerts/TA13-107A	US Government Resource
32	http://www.us-cert.gov/ncas/alerts/TA13-107A	US Government Resource
33	https://bugzilla.redhat.com/show_bug.cgi?id=952389
34	https://bugzilla.redhat.com/show_bug.cgi?id=952389
35	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A16011
36	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A16011
37	https://wiki.mageia.org/en/Support/Advisories/MGASA-2013-0124
38	https://wiki.mageia.org/en/Support/Advisories/MGASA-2013-0124
39	https://wiki.mageia.org/en/Support/Advisories/MGASA-2013-0130
40	https://wiki.mageia.org/en/Support/Advisories/MGASA-2013-0130

Common Vulnerabilities List

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:oracle:jre:1.7.0:update9::::::
cpe:2.3:a:oracle:jre:1.7.0:update15::::::
cpe:2.3:a:oracle:jre:1.7.0:update6::::::
cpe:2.3:a:oracle:jre::update17::::::*		1.7.0
cpe:2.3:a:oracle:jre:1.7.0:update3::::::
cpe:2.3:a:oracle:jre:1.7.0:update13::::::
cpe:2.3:a:oracle:jre:1.7.0:update10::::::
cpe:2.3:a:oracle:jre:1.7.0:update11::::::
cpe:2.3:a:oracle:jre:1.7.0:update2::::::
cpe:2.3:a:oracle:jre:1.7.0:update5::::::
cpe:2.3:a:oracle:jre:1.7.0:update4::::::
cpe:2.3:a:oracle:jre:1.7.0:::::::*
cpe:2.3:a:oracle:jre:1.7.0:update7::::::
cpe:2.3:a:oracle:jre:1.7.0:update1::::::

Configuration2	or higher	or less	more than	less than
cpe:2.3:a:oracle:jdk:1.7.0:update6::::::
cpe:2.3:a:oracle:jdk:1.7.0:update5::::::
cpe:2.3:a:oracle:jdk:1.7.0:update7::::::
cpe:2.3:a:oracle:jdk:1.7.0:update2::::::
cpe:2.3:a:oracle:jdk:1.7.0:update13::::::
cpe:2.3:a:oracle:jdk::update17::::::*		1.7.0
cpe:2.3:a:oracle:jdk:1.7.0:update11::::::
cpe:2.3:a:oracle:jdk:1.7.0:::::::*
cpe:2.3:a:oracle:jdk:1.7.0:update9::::::
cpe:2.3:a:oracle:jdk:1.7.0:update15::::::
cpe:2.3:a:oracle:jdk:1.7.0:update3::::::
cpe:2.3:a:oracle:jdk:1.7.0:update1::::::
cpe:2.3:a:oracle:jdk:1.7.0:update10::::::
cpe:2.3:a:oracle:jdk:1.7.0:update4::::::