Kaspersky Threats

検出日

?

04/17/2018

危険度

?

緊急

説明

Oracle製品には複数の深刻な脆弱性が存在します。悪意のあるユーザーは、これらの脆弱性を悪用して、セキュリティ制限をバイパスし、任意のコードを実行し、機密情報を取得し、サービス拒否を引き起こし、不特定の攻撃を実行する可能性があります。

以下に、脆弱性の完全な一覧を示します。

ライブラリコンポーネントの複数の不特定の脆弱性をリモートから悪用してセキュリティ制限を回避できます。
ライブラリコンポーネントの不特定の脆弱性は、セキュリティ制限を回避するためにリモートから悪用される可能性があります。
Installコンポーネントの不特定の脆弱性をローカルに悪用し、不特定の攻撃を実行する可能性があります。
セキュリティコンポーネントの不特定の脆弱性は、特別に細工されたJCEKSキーストアを介してローカルで悪用され、任意のコードを実行し機密情報を取得することができます。
セキュリティコンポーネントの特定されていない脆弱性が、不特定の攻撃を実行するためにリモートから悪用される可能性があります。
コンテナの非直列化時の無制限メモリ割り当ては、特別に細工された入力を介してリモートから悪用され、サービス妨害を引き起こす可能性があります。
PriorityBlockingQueueの非直列化時の無制限メモリ割り当ては、特別に細工された入力を介してリモートから悪用され、サービス拒否を引き起こす可能性があります。
NamedNodeMapImplの逆シリアル化中の無制限メモリ割り当ては、特別に細工された入力を介してリモートから悪用され、サービス拒否を引き起こす可能性があります。
TabularDataSupportの非直列化時の無制限メモリ割り当ては、特別に細工された入力を介してリモートから悪用され、サービス拒否を引き起こす可能性があります。
セキュリティコンポーネント内の複数のクラスの非直列化における一貫性チェックの不十分さは、特別に細工された入力を介してリモートから悪用され、サービス拒否を引き起こす可能性があります。
StubIORImplの逆シリアル化中の無制限メモリ割り当ては、特別に細工された入力を介してリモートから悪用され、サービス拒否を引き起こす可能性があります。
RMIの不特定の脆弱性をリモートから悪用してセキュリティ制限を回避することができます。
JARマニフェストのセクションの誤ったマージは、セキュリティの制限をバイパスするためにリモートから悪用される可能性があります。

技術的な詳細

Java SE 10は、脆弱性（1） – （11）および（13）の影響を受けます。

Java SE 8は、脆弱性（2）〜（13）の影響を受けます。

Java SE 6および7は、脆弱性（2）および（4） – （13）の影響を受けます。

Java SE Embedded 8は、脆弱性（2）、（5） – （11）、（13）の影響を受けます。

JRockitは脆弱性（5）〜（12）の影響を受けます。

影響を受ける製品

Java SE 6u181以前
Java SE 7u171以前
Java SE 8u171以前
Java SE 10.0.1以前
Java SE Embedded 8u161以前
JRockit R28.3.17以前

解決法

最新バージョンへのアップデート
Oracleソフトウェアのダウンロード

オリジナル勧告

Oracle Critical Patch Update Advisory – April 2018

影響

?

ACE

[?]

OSI

[?]

SB

[?]

DoS

[?]

CVE-IDS

?

CVE-2018-2826
CVE-2018-2825
CVE-2018-2815
CVE-2018-2814
CVE-2018-2811
CVE-2018-2800
CVE-2018-2799
CVE-2018-2798
CVE-2018-2797
CVE-2018-2796
CVE-2018-2795
CVE-2018-2794
CVE-2018-2790
CVE-2018-2783

オリジナルへのリンク

お住まいの地域に広がる脆弱性の統計をご覧ください

検出日 ?	04/17/2018
危険度 ?	緊急
説明	Oracle製品には複数の深刻な脆弱性が存在します。悪意のあるユーザーは、これらの脆弱性を悪用して、セキュリティ制限をバイパスし、任意のコードを実行し、機密情報を取得し、サービス拒否を引き起こし、不特定の攻撃を実行する可能性があります。以下に、脆弱性の完全な一覧を示します。ライブラリコンポーネントの複数の不特定の脆弱性をリモートから悪用してセキュリティ制限を回避できます。ライブラリコンポーネントの不特定の脆弱性は、セキュリティ制限を回避するためにリモートから悪用される可能性があります。 Installコンポーネントの不特定の脆弱性をローカルに悪用し、不特定の攻撃を実行する可能性があります。セキュリティコンポーネントの不特定の脆弱性は、特別に細工されたJCEKSキーストアを介してローカルで悪用され、任意のコードを実行し機密情報を取得することができます。セキュリティコンポーネントの特定されていない脆弱性が、不特定の攻撃を実行するためにリモートから悪用される可能性があります。コンテナの非直列化時の無制限メモリ割り当ては、特別に細工された入力を介してリモートから悪用され、サービス妨害を引き起こす可能性があります。 PriorityBlockingQueueの非直列化時の無制限メモリ割り当ては、特別に細工された入力を介してリモートから悪用され、サービス拒否を引き起こす可能性があります。 NamedNodeMapImplの逆シリアル化中の無制限メモリ割り当ては、特別に細工された入力を介してリモートから悪用され、サービス拒否を引き起こす可能性があります。 TabularDataSupportの非直列化時の無制限メモリ割り当ては、特別に細工された入力を介してリモートから悪用され、サービス拒否を引き起こす可能性があります。セキュリティコンポーネント内の複数のクラスの非直列化における一貫性チェックの不十分さは、特別に細工された入力を介してリモートから悪用され、サービス拒否を引き起こす可能性があります。 StubIORImplの逆シリアル化中の無制限メモリ割り当ては、特別に細工された入力を介してリモートから悪用され、サービス拒否を引き起こす可能性があります。 RMIの不特定の脆弱性をリモートから悪用してセキュリティ制限を回避することができます。 JARマニフェストのセクションの誤ったマージは、セキュリティの制限をバイパスするためにリモートから悪用される可能性があります。技術的な詳細 Java SE 10は、脆弱性（1） – （11）および（13）の影響を受けます。 Java SE 8は、脆弱性（2）〜（13）の影響を受けます。 Java SE 6および7は、脆弱性（2）および（4） – （13）の影響を受けます。 Java SE Embedded 8は、脆弱性（2）、（5） – （11）、（13）の影響を受けます。 JRockitは脆弱性（5）〜（12）の影響を受けます。
影響を受ける製品	Java SE 6u181以前 Java SE 7u171以前 Java SE 8u171以前 Java SE 10.0.1以前 Java SE Embedded 8u161以前 JRockit R28.3.17以前
解決法	最新バージョンへのアップデート Oracleソフトウェアのダウンロード
オリジナル勧告	Oracle Critical Patch Update Advisory – April 2018
影響 ?	ACE [?] OSI [?] SB [?] DoS [?]
CVE-IDS ?	CVE-2018-2826 CVE-2018-2825 CVE-2018-2815 CVE-2018-2814 CVE-2018-2811 CVE-2018-2800 CVE-2018-2799 CVE-2018-2798 CVE-2018-2797 CVE-2018-2796 CVE-2018-2795 CVE-2018-2794 CVE-2018-2790 CVE-2018-2783
	オリジナルへのリンク
	お住まいの地域に広がる脆弱性の統計をご覧ください

KLA11234Oracle Java SE、Java SE EmbeddedおよびJRockitの複数の脆弱性

KLA11234
Oracle Java SE、Java SE EmbeddedおよびJRockitの複数の脆弱性