製品・ソフトウェアに関する情報

JVN脆弱性詳細

Java Web Start におけるポリシーファイル読み込みに関する脆弱性

タイトル	Java Web Start におけるポリシーファイル読み込みに関する脆弱性
概要	Oracle の提供する Java Web Start には、ポリシーファイルの読み込みに関する脆弱性が存在します。 Java Web Start は、Oracle が提供する JRE (Java Runtime Environment) 等のJava 実行環境に含まれるソフトウェアです。Java Web Start には、ポリシーファイル読み込み処理に問題があり、意図しないポリシーファイルを読み込んでしまう脆弱性が存在します。この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。報告者: 株式会社富士通研究所兒島尚氏
想定される影響	読み込んだポリシーによって制限が回避され、任意のコードを実行される可能性があります。
対策	[アップデートする] 開発者が提供する情報をもとに最新版へアップデートしてください。
公表日	2011年6月10日0:00
登録日	2011年6月10日11:02
最終更新日	2013年3月26日15:04

CVSS2.0 : 警告
スコア	6.8
ベクター	AV:N/AC:M/Au:N/C:P/I:P/A:P

影響を受けるシステム

サン・マイクロシステムズ

JDK 6 Update 25 およびそれ以前（Windows版）

JRE 6 Update 25 およびそれ以前（Windows版）

ヒューレット・パッカード

HP Systems Insight Manager 7.0 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2011-0788	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0788
National Vulnerability Database (NVD)
2	CVE-2011-0788	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-0788

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	名前	URL
HP Security Bulletin
1	HPSBMU02769 SSRT100846	http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c03298151
Oracle Critical Patch Update
2	javacpujune2011-313339	http://www.oracle.com/technetwork/topics/security/javacpujune2011-313339.html

その他

No	名前	URL
IPA 重要なセキュリティ情報
1	「Java Web Start」における3件のセキュリティ上の弱点（脆弱性）の注意喚起	http://www.ipa.go.jp/about/press/20110610.html
JPCERT 緊急報告
2	JPCERT-AT-2011-0015	http://www.jpcert.or.jp/at/2011/at110015.txt
JVN
3	JVN#29212182	http://jvn.jp/jp/JVN29212182/
警察庁 @police
4	アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて(2011年06月06日)	http://www.npa.go.jp/cyberpolice/#topics

変更履歴

No	変更内容	変更日
0	[2011年06月10日] 掲載 [2013年03月26日] 影響を受けるシステム：ヒューレット・パッカード (HPSBMU02769 SSRT100846) の情報を追加ベンダ情報：ヒューレット・パッカード (HPSBMU02769 SSRT100846) を追加	2018年2月17日10:37

NVD脆弱性情報

CVE-2011-0788

概要	Unspecified vulnerability in the Java Runtime Environment (JRE) component in Oracle Java SE 6 Update 25 and earlier, when running on Windows, allows remote untrusted Java Web Start applications and untrusted Java applets to affect confidentiality, integrity, and availability via unknown vectors related to Deployment, a different vulnerability than CVE-2011-0786.
公表日	2011年6月15日3:55
登録日	2021年1月28日16:37
最終更新日	2024年11月21日10:24

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:sun:jdk::update_25::::::*			1.6.0
cpe:2.3:a:sun:jdk:1.6.0:update_17::::::
cpe:2.3:a:sun:jdk:1.6.0:update_14::::::
cpe:2.3:a:sun:jdk:1.6.0:::::::*
cpe:2.3:a:sun:jdk:1.6.0:update_5::::::
cpe:2.3:a:sun:jdk:1.6.0:update_23::::::
cpe:2.3:a:sun:jdk:1.6.0:update2::::::
cpe:2.3:a:sun:jdk:1.6.0:update_21::::::
cpe:2.3:a:sun:jdk:1.6.0:update_16::::::
cpe:2.3:a:sun:jdk:1.6.0:update1::::::
cpe:2.3:a:sun:jdk:1.6.0:update_7::::::
cpe:2.3:a:sun:jdk:1.6.0:update_19::::::
cpe:2.3:a:sun:jdk:1.6.0:update_13::::::
cpe:2.3:a:sun:jdk:1.6.0:update_24::::::
cpe:2.3:a:sun:jdk:1.6.0:update_3::::::
cpe:2.3:a:sun:jdk:1.6.0:update_22::::::
cpe:2.3:a:sun:jdk:1.6.0:update_4::::::
cpe:2.3:a:sun:jdk:1.6.0:update_11::::::
cpe:2.3:a:sun:jdk:1.6.0:update_10::::::
cpe:2.3:a:sun:jdk:1.6.0:update_18::::::
cpe:2.3:a:sun:jdk:1.6.0:update_6::::::
cpe:2.3:a:sun:jdk:1.6.0:update_20::::::
cpe:2.3:a:sun:jdk:1.6.0:update_15::::::
cpe:2.3:a:sun:jdk:1.6.0:update_12::::::
cpe:2.3:a:sun:jre::update_25::::::*			1.6.0
cpe:2.3:a:sun:jre:1.6.0:update_4::::::
cpe:2.3:a:sun:jre:1.6.0:update_12::::::
cpe:2.3:a:sun:jre:1.6.0:update_11::::::
cpe:2.3:a:sun:jre:1.6.0:update_15::::::
cpe:2.3:a:sun:jre:1.6.0:update_22::::::
cpe:2.3:a:sun:jre:1.6.0:update_6::::::
cpe:2.3:a:sun:jre:1.6.0:update_20::::::
cpe:2.3:a:sun:jre:1.6.0:update_3::::::
cpe:2.3:a:sun:jre:1.6.0:update_5::::::
cpe:2.3:a:sun:jre:1.6.0:update_16::::::
cpe:2.3:a:sun:jre:1.6.0:update_13::::::
cpe:2.3:a:sun:jre:1.6.0:update_24::::::
cpe:2.3:a:sun:jre:1.6.0:update_1::::::
cpe:2.3:a:sun:jre:1.6.0:update_2::::::
cpe:2.3:a:sun:jre:1.6.0:update_17::::::
cpe:2.3:a:sun:jre:1.6.0:update_21::::::
cpe:2.3:a:sun:jre:1.6.0:update_7::::::
cpe:2.3:a:sun:jre:1.6.0:update_14::::::
cpe:2.3:a:sun:jre:1.6.0:update_23::::::
cpe:2.3:a:sun:jre:1.6.0:update_10::::::
cpe:2.3:a:sun:jre:1.6.0:update_18::::::
cpe:2.3:a:sun:jre:1.6.0:update_19::::::
cpe:2.3:a:sun:jre:1.6.0:::::::*
実行環境
1	cpe:2.3:o:microsoft:windows::::::::

関連情報、対策とツール

No	URL	タグ
1	http://lists.opensuse.org/opensuse-security-announce/2011-06/msg00003.html
2	http://lists.opensuse.org/opensuse-security-announce/2011-07/msg00003.html
3	http://lists.opensuse.org/opensuse-security-announce/2011-07/msg00009.html
4	http://marc.info/?l=bugtraq&m=132439520301822&w=2
5	http://marc.info/?l=bugtraq&m=132439520301822&w=2
6	http://marc.info/?l=bugtraq&m=134254866602253&w=2
7	http://marc.info/?l=bugtraq&m=134254957702612&w=2
8	http://marc.info/?l=bugtraq&m=134254957702612&w=2
9	http://secunia.com/advisories/44930
10	http://www.ibm.com/developerworks/java/jdk/alerts/
11	http://www.oracle.com/technetwork/topics/security/javacpujune2011-313339.html	Patch Vendor Advisory
12	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A14140
13	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A14568
14	http://lists.opensuse.org/opensuse-security-announce/2011-06/msg00003.html
15	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A14568
16	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A14140
17	http://www.oracle.com/technetwork/topics/security/javacpujune2011-313339.html	Patch Vendor Advisory
18	http://www.ibm.com/developerworks/java/jdk/alerts/
19	http://secunia.com/advisories/44930
20	http://marc.info/?l=bugtraq&m=134254957702612&w=2
21	http://marc.info/?l=bugtraq&m=134254957702612&w=2
22	http://marc.info/?l=bugtraq&m=134254866602253&w=2
23	http://marc.info/?l=bugtraq&m=132439520301822&w=2
24	http://marc.info/?l=bugtraq&m=132439520301822&w=2
25	http://lists.opensuse.org/opensuse-security-announce/2011-07/msg00009.html
26	http://lists.opensuse.org/opensuse-security-announce/2011-07/msg00003.html

共通脆弱性一覧

構成1		以上	以下	より上	未満
cpe:2.3:a:sun:jdk::update_25::::::*			1.6.0
cpe:2.3:a:sun:jdk:1.6.0:update_17::::::
cpe:2.3:a:sun:jdk:1.6.0:update_14::::::
cpe:2.3:a:sun:jdk:1.6.0:::::::*
cpe:2.3:a:sun:jdk:1.6.0:update_5::::::
cpe:2.3:a:sun:jdk:1.6.0:update_23::::::
cpe:2.3:a:sun:jdk:1.6.0:update2::::::
cpe:2.3:a:sun:jdk:1.6.0:update_21::::::
cpe:2.3:a:sun:jdk:1.6.0:update_16::::::
cpe:2.3:a:sun:jdk:1.6.0:update1::::::
cpe:2.3:a:sun:jdk:1.6.0:update_7::::::
cpe:2.3:a:sun:jdk:1.6.0:update_19::::::
cpe:2.3:a:sun:jdk:1.6.0:update_13::::::
cpe:2.3:a:sun:jdk:1.6.0:update_24::::::
cpe:2.3:a:sun:jdk:1.6.0:update_3::::::
cpe:2.3:a:sun:jdk:1.6.0:update_22::::::
cpe:2.3:a:sun:jdk:1.6.0:update_4::::::
cpe:2.3:a:sun:jdk:1.6.0:update_11::::::
cpe:2.3:a:sun:jdk:1.6.0:update_10::::::
cpe:2.3:a:sun:jdk:1.6.0:update_18::::::
cpe:2.3:a:sun:jdk:1.6.0:update_6::::::
cpe:2.3:a:sun:jdk:1.6.0:update_20::::::
cpe:2.3:a:sun:jdk:1.6.0:update_15::::::
cpe:2.3:a:sun:jdk:1.6.0:update_12::::::
cpe:2.3:a:sun:jre::update_25::::::*			1.6.0
cpe:2.3:a:sun:jre:1.6.0:update_4::::::
cpe:2.3:a:sun:jre:1.6.0:update_12::::::
cpe:2.3:a:sun:jre:1.6.0:update_11::::::
cpe:2.3:a:sun:jre:1.6.0:update_15::::::
cpe:2.3:a:sun:jre:1.6.0:update_22::::::
cpe:2.3:a:sun:jre:1.6.0:update_6::::::
cpe:2.3:a:sun:jre:1.6.0:update_20::::::
cpe:2.3:a:sun:jre:1.6.0:update_3::::::
cpe:2.3:a:sun:jre:1.6.0:update_5::::::
cpe:2.3:a:sun:jre:1.6.0:update_16::::::
cpe:2.3:a:sun:jre:1.6.0:update_13::::::
cpe:2.3:a:sun:jre:1.6.0:update_24::::::
cpe:2.3:a:sun:jre:1.6.0:update_1::::::
cpe:2.3:a:sun:jre:1.6.0:update_2::::::
cpe:2.3:a:sun:jre:1.6.0:update_17::::::
cpe:2.3:a:sun:jre:1.6.0:update_21::::::
cpe:2.3:a:sun:jre:1.6.0:update_7::::::
cpe:2.3:a:sun:jre:1.6.0:update_14::::::
cpe:2.3:a:sun:jre:1.6.0:update_23::::::
cpe:2.3:a:sun:jre:1.6.0:update_10::::::
cpe:2.3:a:sun:jre:1.6.0:update_18::::::
cpe:2.3:a:sun:jre:1.6.0:update_19::::::
cpe:2.3:a:sun:jre:1.6.0:::::::*
実行環境
1	cpe:2.3:o:microsoft:windows::::::::