製品・ソフトウェアに関する情報

JVN脆弱性詳細

複数の Oracle Java 製品における JAXP に関する脆弱性

タイトル	複数の Oracle Java 製品における JAXP に関する脆弱性
概要	Oracle Java SE、Java SE Embedded および JRockit には、JAXP に関する処理に不備があるため、機密性に影響のある脆弱性が存在します。
想定される影響	第三者により、情報を取得される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2014年10月14日0:00
登録日	2014年10月16日16:28
最終更新日	2016年1月28日11:43

CVSS2.0 : 警告
スコア	5
ベクター	AV:N/AC:L/Au:N/C:P/I:N/A:N

影響を受けるシステム

オラクル

JDK 6 Update 81 およびそれ以前

JDK 7 Update 67 およびそれ以前

JDK 8 Update 20 およびそれ以前

JDK 6 Update 81 およびそれ以前

JDK 7 Update 67 およびそれ以前

JDK 8 Update 20 およびそれ以前

JRE 6 Update 81 およびそれ以前

JRE 7 Update 67 およびそれ以前

JRE 8 Update 20 およびそれ以前

JRE 6 Update 81 およびそれ以前

JRE 7 Update 67 およびそれ以前

JRE 8 Update 20 およびそれ以前

Oracle Java SE Embedded 7 Update 60 およびそれ以前

Oracle JRockit R27.8.3 およびそれ以前

Oracle JRockit R28.3.3 およびそれ以前

Oracle JRockit R27.8.3 およびそれ以前

Oracle JRockit R28.3.3 およびそれ以前

日立

Cosminexus Application Server Enterprise Version 6

Cosminexus Application Server Standard Version 6

Cosminexus Application Server Version 5

Cosminexus Client Version 6

Cosminexus Developer Light Version 6

Cosminexus Developer Professional Version 6

Cosminexus Developer Standard Version 6

Cosminexus Developer Version 5

Cosminexus Developer's Kit for Java(TM)

Cosminexus Primary Server Base

Cosminexus Primary Server Base Version 5

Cosminexus Primary Server Base Version 6

Cosminexus Primary Server Version 6

Cosminexus Primary Server Base

Cosminexus Primary Server Base Version 5

Cosminexus Primary Server Base Version 6

Cosminexus Primary Server Version 6

Cosminexus Studio Light Version 5

Cosminexus Studio Version 5

Cosminexus Studio Light Version 5

Cosminexus Studio Version 5

Cosminexus XML Processor

Embedded Cosminexus

Hitachi Application Server

Hitachi Application Server for Developers

Hitachi Developer's Kit for Java

uCosminexus Application Server

uCosminexus Application Server -R

uCosminexus Application Server Express

uCosminexus Application Server Light

uCosminexus Application Server Standard-R

uCosminexus Application Server

uCosminexus Application Server -R

uCosminexus Application Server Express

uCosminexus Application Server Light

uCosminexus Application Server Standard-R

uCosminexus Application Server Enterprise

uCosminexus Application Server Smart Edition

uCosminexus Application Server Standard

uCosminexus Client

uCosminexus Client for ATM

uCosminexus Client for Plug-in

uCosminexus Client

uCosminexus Client for ATM

uCosminexus Client for Plug-in

uCosminexus Developer

uCosminexus Developer 01

uCosminexus Developer Professional

uCosminexus Developer Professional for ATM

uCosminexus Developer Professional for Plug-in

uCosminexus Developer

uCosminexus Developer 01

uCosminexus Developer Professional

uCosminexus Developer Professional for ATM

uCosminexus Developer Professional for Plug-in

uCosminexus Developer Light

uCosminexus Developer Standard

uCosminexus Operator

uCosminexus Operator for Service Platform

uCosminexus Operator

uCosminexus Operator for Service Platform

uCosminexus Primary Server Base

uCosminexus Primary Server Base Version 6

uCosminexus Primary Server Version 6

uCosminexus Primary Server Base

uCosminexus Primary Server Base Version 6

uCosminexus Primary Server Version 6

uCosminexus Server Standard-R

uCosminexus Service Architect

uCosminexus Service Platform

uCosminexus Service Platform - Messaging

uCosminexus Service Platform

uCosminexus Service Platform - Messaging

プログラミング環境 for Java

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2014-6517	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6517
2	CVE-2014-6517	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6517
National Vulnerability Database (NVD)
3	CVE-2014-6517	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6517
4	CVE-2014-6517	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6517

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-noinfo	https://www.ipa.go.jp/security/vuln/CWE.html#CWEnoinfo
2	CWE-noinfo	https://www.ipa.go.jp/security/vuln/CWE.html#CWEnoinfo

ベンダー情報

No	名前	URL
Hitachi Software Vulnerability Information
1	HS14-021	http://www.hitachi.co.jp/Prod/comp/soft1/global/security/info/vuls/HS14-021/index.html
2	HS14-021	http://www.hitachi.co.jp/Prod/comp/soft1/global/security/info/vuls/HS14-021/index.html
3	HS15-008	http://www.hitachi.co.jp/Prod/comp/soft1/global/security/info/vuls/HS15-008/index.html
4	HS15-008	http://www.hitachi.co.jp/Prod/comp/soft1/global/security/info/vuls/HS15-008/index.html
HP Security Bulletin
5	HPSBUX03218 SSRT101770	http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?lang=en&cc=us&objectID=c04517477
6	HPSBUX03218 SSRT101770	http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?lang=en&cc=us&objectID=c04517477
Oracle
7	ELSA-2014-1633	http://linux.oracle.com/errata/ELSA-2014-1633.html
8	ELSA-2014-1633	http://linux.oracle.com/errata/ELSA-2014-1633.html
9	ELSA-2014-1634	http://linux.oracle.com/errata/ELSA-2014-1634.html
10	ELSA-2014-1634	http://linux.oracle.com/errata/ELSA-2014-1634.html
11	ELSA-2014-1636	http://linux.oracle.com/errata/ELSA-2014-1636.html
12	ELSA-2014-1636	http://linux.oracle.com/errata/ELSA-2014-1636.html
Oracle Critical Patch Update
13	Oracle Critical Patch Update Advisory - October 2014	http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html
14	Oracle Critical Patch Update Advisory - October 2014	http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html
15	Text Form of Oracle Critical Patch Update - October 2014 Risk Matrices	http://www.oracle.com/technetwork/topics/security/cpuoct2014verbose-1972962.html
16	Text Form of Oracle Critical Patch Update - October 2014 Risk Matrices	http://www.oracle.com/technetwork/topics/security/cpuoct2014verbose-1972962.html
Red Hat Security Advisory
17	RHSA-2014:1620	https://rhn.redhat.com/errata/RHSA-2014-1620.html
18	RHSA-2014:1620	https://rhn.redhat.com/errata/RHSA-2014-1620.html
19	RHSA-2014:1633	https://rhn.redhat.com/errata/RHSA-2014-1633.html
20	RHSA-2014:1633	https://rhn.redhat.com/errata/RHSA-2014-1633.html
21	RHSA-2014:1634	https://rhn.redhat.com/errata/RHSA-2014-1634.html
22	RHSA-2014:1634	https://rhn.redhat.com/errata/RHSA-2014-1634.html
23	RHSA-2014:1636	https://rhn.redhat.com/errata/RHSA-2014-1636.html
24	RHSA-2014:1636	https://rhn.redhat.com/errata/RHSA-2014-1636.html
25	RHSA-2014:1657	https://rhn.redhat.com/errata/RHSA-2014-1657.html
26	RHSA-2014:1657	https://rhn.redhat.com/errata/RHSA-2014-1657.html
27	RHSA-2014:1658	https://rhn.redhat.com/errata/RHSA-2014-1658.html
28	RHSA-2014:1658	https://rhn.redhat.com/errata/RHSA-2014-1658.html
SECURITY BLOG
29	October 2014 Critical Patch Update Released	https://blogs.oracle.com/security/entry/october_2014_critical_patch_update
30	October 2014 Critical Patch Update Released	https://blogs.oracle.com/security/entry/october_2014_critical_patch_update
ソフトウェア製品セキュリティ情報
31	HS14-021	http://www.hitachi.co.jp/Prod/comp/soft1/security/info/vuls/HS14-021/index.html
32	HS14-021	http://www.hitachi.co.jp/Prod/comp/soft1/security/info/vuls/HS14-021/index.html
33	HS15-008	http://www.hitachi.co.jp/Prod/comp/soft1/security/info/vuls/HS15-008/index.html
34	HS15-008	http://www.hitachi.co.jp/Prod/comp/soft1/security/info/vuls/HS15-008/index.html
富士通セキュリティ情報
35	Oracle Corporation Javaプラグインの脆弱性に関するお知らせ	http://www.fmworld.net/biz/common/oracle/20141016.html
36	Oracle Corporation Javaプラグインの脆弱性に関するお知らせ	http://www.fmworld.net/biz/common/oracle/20141016.html

その他

No	名前	URL
IPA 重要なセキュリティ情報
1	Oracle Java の脆弱性対策について(CVE-2014-6513等)	http://www.ipa.go.jp/security/ciadr/vul/20141015-jre.html
2	Oracle Java の脆弱性対策について(CVE-2014-6513等)	http://www.ipa.go.jp/security/ciadr/vul/20141015-jre.html
JPCERT 注意喚起
3	JPCERT-AT-2014-0041	http://www.jpcert.or.jp/at/2014/at140041.html
4	JPCERT-AT-2014-0041	http://www.jpcert.or.jp/at/2014/at140041.html

変更履歴

No	変更内容	変更日
0	[2014年10月16日] 掲載 [2014年10月21日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：日立 (HS14-021) を追加 [2014年11月17日] ベンダ情報：レッドハット (RHSA-2014:1657) を追加ベンダ情報：レッドハット (RHSA-2014:1658) を追加 [2014年11月21日] ベンダ情報：レッドハット (RHSA-2014:1620) を追加ベンダ情報：レッドハット (RHSA-2014:1633) を追加ベンダ情報：レッドハット (RHSA-2014:1634) を追加ベンダ情報：レッドハット (RHSA-2014:1636) を追加ベンダ情報：オラクル (ELSA-2014-1633) を追加ベンダ情報：オラクル (ELSA-2014-1634) を追加ベンダ情報：オラクル (ELSA-2014-1636) を追加 [2014年12月19日] ベンダ情報：ヒューレット・パッカード (HPSBUX03218 SSRT101770) を追加 [2015年03月16日] 影響を受けるシステム：内容を更新 [2015年04月22日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：日立 (HS15-008) を追加 [2016年01月28日] 影響を受けるシステム：ベンダ情報の更新に伴い内容を更新	2018年2月17日10:37
0	[2014年10月16日] 掲載 [2014年10月21日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：日立 (HS14-021) を追加 [2014年11月17日] ベンダ情報：レッドハット (RHSA-2014:1657) を追加ベンダ情報：レッドハット (RHSA-2014:1658) を追加 [2014年11月21日] ベンダ情報：レッドハット (RHSA-2014:1620) を追加ベンダ情報：レッドハット (RHSA-2014:1633) を追加ベンダ情報：レッドハット (RHSA-2014:1634) を追加ベンダ情報：レッドハット (RHSA-2014:1636) を追加ベンダ情報：オラクル (ELSA-2014-1633) を追加ベンダ情報：オラクル (ELSA-2014-1634) を追加ベンダ情報：オラクル (ELSA-2014-1636) を追加 [2014年12月19日] ベンダ情報：ヒューレット・パッカード (HPSBUX03218 SSRT101770) を追加 [2015年03月16日] 影響を受けるシステム：内容を更新 [2015年04月22日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：日立 (HS15-008) を追加 [2016年01月28日] 影響を受けるシステム：ベンダ情報の更新に伴い内容を更新	2018年2月17日10:37

NVD脆弱性情報

CVE-2014-6517

概要	Unspecified vulnerability in Oracle Java SE 6u81, 7u67, and 8u20; Java SE Embedded 7u60; and Jrockit R27.8.3 and R28.3.3 allows remote attackers to affect confidentiality via vectors related to JAXP.
公表日	2014年10月16日7:55
登録日	2021年1月26日15:16
最終更新日	2024年11月21日11:14

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:oracle:jrockit:r28.3.3:::::::*
cpe:2.3:a:oracle:jrockit:r27.8.3:::::::*

構成2	以上	以下	より上	未満
cpe:2.3:a:oracle:jre:1.8.0:update_20::::::
cpe:2.3:a:oracle:jre:1.7.0:update_67::::::
cpe:2.3:a:oracle:jre:1.6.0:update_81::::::
cpe:2.3:a:oracle:jdk:1.7.0:update60::::::
cpe:2.3:a:oracle:jdk:1.6.0:update81::::::
cpe:2.3:a:oracle:jre:1.7.0:update60::::::

関連情報、対策とツール

No	URL	タグ
1	http://linux.oracle.com/errata/ELSA-2014-1633.html
2	http://linux.oracle.com/errata/ELSA-2014-1633.html
3	http://linux.oracle.com/errata/ELSA-2014-1634.html
4	http://linux.oracle.com/errata/ELSA-2014-1634.html
5	http://linux.oracle.com/errata/ELSA-2014-1636
6	http://linux.oracle.com/errata/ELSA-2014-1636
7	http://lists.opensuse.org/opensuse-security-announce/2014-11/msg00013.html
8	http://lists.opensuse.org/opensuse-security-announce/2014-11/msg00013.html
9	http://marc.info/?l=bugtraq&m=141775382904016&w=2
10	http://marc.info/?l=bugtraq&m=141775382904016&w=2
11	http://marc.info/?l=bugtraq&m=141775382904016&w=2
12	http://marc.info/?l=bugtraq&m=141775382904016&w=2
13	http://rhn.redhat.com/errata/RHSA-2014-1620.html
14	http://rhn.redhat.com/errata/RHSA-2014-1620.html
15	http://rhn.redhat.com/errata/RHSA-2014-1633.html
16	http://rhn.redhat.com/errata/RHSA-2014-1633.html
17	http://rhn.redhat.com/errata/RHSA-2014-1634.html
18	http://rhn.redhat.com/errata/RHSA-2014-1634.html
19	http://rhn.redhat.com/errata/RHSA-2014-1636.html
20	http://rhn.redhat.com/errata/RHSA-2014-1636.html
21	http://rhn.redhat.com/errata/RHSA-2014-1657.html
22	http://rhn.redhat.com/errata/RHSA-2014-1657.html
23	http://rhn.redhat.com/errata/RHSA-2014-1658.html
24	http://rhn.redhat.com/errata/RHSA-2014-1658.html
25	http://secunia.com/advisories/60414
26	http://secunia.com/advisories/60414
27	http://secunia.com/advisories/60416
28	http://secunia.com/advisories/60416
29	http://secunia.com/advisories/60417
30	http://secunia.com/advisories/60417
31	http://secunia.com/advisories/61018
32	http://secunia.com/advisories/61018
33	http://secunia.com/advisories/61020
34	http://secunia.com/advisories/61020
35	http://secunia.com/advisories/61143
36	http://secunia.com/advisories/61143
37	http://secunia.com/advisories/61163
38	http://secunia.com/advisories/61163
39	http://secunia.com/advisories/61164
40	http://secunia.com/advisories/61164
41	http://secunia.com/advisories/61346
42	http://secunia.com/advisories/61346
43	http://secunia.com/advisories/61609
44	http://secunia.com/advisories/61609
45	http://secunia.com/advisories/61629
46	http://secunia.com/advisories/61629
47	http://secunia.com/advisories/61631
48	http://secunia.com/advisories/61631
49	http://secunia.com/advisories/61928
50	http://secunia.com/advisories/61928
51	http://security.gentoo.org/glsa/glsa-201502-12.xml
52	http://security.gentoo.org/glsa/glsa-201502-12.xml
53	http://www.debian.org/security/2014/dsa-3077
54	http://www.debian.org/security/2014/dsa-3077
55	http://www.debian.org/security/2014/dsa-3080
56	http://www.debian.org/security/2014/dsa-3080
57	http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html	Patch Vendor Advisory
58	http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html	Patch Vendor Advisory
59	http://www.securityfocus.com/bid/70552
60	http://www.securityfocus.com/bid/70552
61	http://www.ubuntu.com/usn/USN-2386-1
62	http://www.ubuntu.com/usn/USN-2386-1
63	http://www.ubuntu.com/usn/USN-2388-1
64	http://www.ubuntu.com/usn/USN-2388-1
65	http://www.ubuntu.com/usn/USN-2388-2
66	http://www.ubuntu.com/usn/USN-2388-2
67	https://kc.mcafee.com/corporate/index?page=content&id=SB10092
68	https://kc.mcafee.com/corporate/index?page=content&id=SB10092

共通脆弱性一覧

構成2	以上	以下	より上	未満
cpe:2.3:a:oracle:jre:1.8.0:update_20::::::
cpe:2.3:a:oracle:jre:1.7.0:update_67::::::
cpe:2.3:a:oracle:jre:1.6.0:update_81::::::
cpe:2.3:a:oracle:jdk:1.7.0:update60::::::
cpe:2.3:a:oracle:jdk:1.6.0:update81::::::
cpe:2.3:a:oracle:jre:1.7.0:update60::::::