読者です 読者をやめる 読者になる 読者になる

2015年1月 Oracle Java SE のクリティカルパッチアップデートのサーバーへの影響調査

security java

2015年1月 Oracle Java SE のクリティカルパッチアップデートのサーバーへの影響調査をしてみた。

結論

  • 影響は小さめ
  • network経由で攻撃できるのは、
    • Base Scoreは最大で5.0
    • DoS系 1つ
    • 2つはSSL/TLSのMITM系。そのうち一つはPOODLE SSLv3
    • SSL/TLS使っていなければ問題ない。
  • localのもBase Score 5.4で大きくはない

調査詳細

Oracle Java SE Risk Matrix よりサーバが対象の物を抽出

Oracleのから情報はこれだけ http://www.oracle.com/technetwork/topics/security/cpujan2015-1972971.html#AppendixJAVA

Notes: で対象がわかる * 1.client only (Java Web and Applet) * 2.client only * 3.server * 4.server (JSSE)

なので、3,4なものが対象となる。

対象となるのは以下の4つ

CVE No Access Vector CVSS 2.0 Base Score RISK
CVE-2015-0383 local 5.4 Integrity and Availability
CVE-2015-0410 network 5.0 only Availability
CVE-2014-3566 Network 4.3 only Confidentiality
CVE-2014-6593 Network 4.0 Confidentiality and Integrity

Access Vectorがnetworkなものを詳しく

こういうときはRedHatの情報が非常に便利

CVE-2015-0410

DoS系 Important: java-1.7.0-openjdk security update https://rhn.redhat.com/errata/RHSA-2015-0068.html より

A flaw was found in the way the DER (Distinguished Encoding Rules) decoder in the Security component in OpenJDK handled negative length values. A specially crafted, DER-encoded input could cause a Java application to enter an infinite loop when decoded. (CVE-2015-0410)

Red Hat Bugzilla https://bugzilla.redhat.com/show_bug.cgi?id=1183044 より

Bug 1183044 - (CVE-2015-0410) CVE-2015-0410 OpenJDK: DER decoder infinite loop (Security, 8059485)

CVE-2014-3566

このCVE noは、POODLE SSLv3

CVE-2014-6593

TLS/SSLでMITM攻撃ができるかも系の奴

Important: java-1.7.0-openjdk security update https://rhn.redhat.com/errata/RHSA-2015-0068.html より

It was discovered that the SSL/TLS implementation in the JSSE component in OpenJDK failed to properly check whether the ChangeCipherSpec was received during the SSL/TLS connection handshake. An MITM attacker could possibly use this flaw to force a connection to be established without encryption being enabled. (CVE-2014-6593)

Red Hat Bugzilla https://bugzilla.redhat.com/show_bug.cgi?id=1183049 より

Bug 1183049 - (CVE-2014-6593) CVE-2014-6593 OpenJDK: incorrect tracking of ChangeCipherSpec during SSL/TLS handshake (JSSE, 8057555)