| タイトル | Oracle Java SE の Java Runtime Environment における HotSpot の処理に関する脆弱性 |
|---|---|
| 概要 | Oracle Java SE の Java Runtime Environment (JRE) および OpenJDK には、HotSpot に関する処理に不備があるため、完全性に影響のある脆弱性が存在します。 本情報は、April 2013 Critical Patch Update (CPU) に基づく脆弱性情報です。 当初、研究者が、整数フィールドと double 型実数フィールドを使用してセキュリティマネージャを無効化するデモンストレーションによって、MethodHandles メソッドによってパーミッションの確認を回避される、およびリフレクションと type confusion を使用して任意の public final フィールドを変更される可能性があると主張していますが、オラクル社はコメントしていません。 |
| 想定される影響 | 第三者により、情報を改ざんされる可能性があります。 |
| 対策 | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2013年4月16日0:00 |
| 登録日 | 2013年4月22日10:39 |
| 最終更新日 | 2014年3月28日18:29 |
| CVSS2.0 : 警告 | |
| スコア | 4.3 |
|---|---|
| ベクター | AV:N/AC:M/Au:N/C:N/I:P/A:N |
| オラクル |
| JDK 7 Update 17 およびそれ以前 |
| JRE 7 Update 17 およびそれ以前 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2013年04月22日] 掲載 [2013年06月18日] 概要:内容を更新 ベンダ情報:オラクル (jdk7u/jdk7u-dev/jdk / changeset) を追加 ベンダ情報:Ubuntu (USN-1806-1) を追加 ベンダ情報:レッドハット (RHSA-2013:0752) を追加 ベンダ情報:レッドハット (RHSA-2013:0757) を追加 ベンダ情報:レッドハット (Bug 952398) を追加 参考情報:GNU/Andrew's Blog (IcedTea 2.3.9 for OpenJDK 7) を追加 [2013年07月05日] ベンダ情報:openSUSE (openSUSE-SU-2013:0964) を追加 [2013年08月12日] ベンダ情報:ターボリナックス (TLSA-2013-2) を追加 [2014年03月28日] 参考情報:関連文書 (MGASA-2013-0130) を追加 |
2018年2月17日10:37 |
| 概要 | Unspecified vulnerability in the Java Runtime Environment (JRE) component in Oracle Java SE 7 Update 17 and earlier, and OpenJDK 7, allows remote attackers to affect integrity via unknown vectors related to HotSpot. NOTE: the previous information is from the April 2013 CPU. Oracle has not commented on claims from the original researcher that this vulnerability allows remote attackers to bypass permission checks by the MethodHandles method and modify arbitrary public final fields using reflection and type confusion, as demonstrated using integer and double fields to disable the security manager. |
|---|---|
| 公表日 | 2013年4月18日3:55 |
| 登録日 | 2021年1月26日15:38 |
| 最終更新日 | 2024年11月21日10:51 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:oracle:jre:1.7.0:update9:*:*:*:*:*:* | |||||
| cpe:2.3:a:oracle:jre:1.7.0:update15:*:*:*:*:*:* | |||||
| cpe:2.3:a:oracle:jre:1.7.0:update6:*:*:*:*:*:* | |||||
| cpe:2.3:a:oracle:jre:1.7.0:update3:*:*:*:*:*:* | |||||
| cpe:2.3:a:oracle:jre:1.7.0:update13:*:*:*:*:*:* | |||||
| cpe:2.3:a:oracle:jre:1.7.0:update10:*:*:*:*:*:* | |||||
| cpe:2.3:a:oracle:jre:1.7.0:update11:*:*:*:*:*:* | |||||
| cpe:2.3:a:oracle:jre:1.7.0:update2:*:*:*:*:*:* | |||||
| cpe:2.3:a:oracle:jre:1.7.0:update5:*:*:*:*:*:* | |||||
| cpe:2.3:a:oracle:jre:1.7.0:update4:*:*:*:*:*:* | |||||
| cpe:2.3:a:oracle:jre:1.7.0:update7:*:*:*:*:*:* | |||||
| cpe:2.3:a:oracle:jre:1.7.0:update1:*:*:*:*:*:* | |||||
| cpe:2.3:a:oracle:jre:1.7.0:-:*:*:*:*:*:* | |||||
| 構成2 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:opensuse:opensuse:12.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:canonical:ubuntu_linux:12.10:*:*:*:*:*:*:* | |||||