2015年1月 Oracle Java SE のクリティカルパッチアップデートのサーバーへの影響調査をしてみた。

• https://www.jpcert.or.jp/at/2015/at150003.html
• http://www.oracle.com/technetwork/topics/security/cpujan2015-1972971.html

結論

• 影響は小さめ
• network経由で攻撃できるのは、
  • Base Scoreは最大で5.0
  • DoS系 1つ
  • 2つはSSL/TLSのMITM系。そのうち一つはPOODLE SSLv3
  • SSL/TLS使っていなければ問題ない。
• localのもBase Score 5.4で大きくはない

調査詳細

Oracle Java SE Risk Matrix よりサーバが対象の物を抽出

Oracleのから情報はこれだけ http://www.oracle.com/technetwork/topics/security/cpujan2015-1972971.html#AppendixJAVA

Notes: で対象がわかる * 1.client only (Java Web and Applet) * 2.client only * 3.server * 4.server (JSSE)

なので、3,4なものが対象となる。

対象となるのは以下の4つ

Access Vectorがnetworkなものを詳しく

こういうときはRedHatの情報が非常に便利

CVE-2015-0410

DoS系 Important: java-1.7.0-openjdk security update https://rhn.redhat.com/errata/RHSA-2015-0068.html より

A flaw was found in the way the DER (Distinguished Encoding Rules) decoder in the Security component in OpenJDK handled negative length values. A specially crafted, DER-encoded input could cause a Java application to enter an infinite loop when decoded. (CVE-2015-0410)

Red Hat Bugzilla https://bugzilla.redhat.com/show_bug.cgi?id=1183044 より

Bug 1183044 - (CVE-2015-0410) CVE-2015-0410 OpenJDK: DER decoder infinite loop (Security, 8059485)

CVE-2014-3566

このCVE noは、POODLE SSLv3

CVE-2014-6593

TLS/SSLでMITM攻撃ができるかも系の奴

Important: java-1.7.0-openjdk security update https://rhn.redhat.com/errata/RHSA-2015-0068.html より

It was discovered that the SSL/TLS implementation in the JSSE component in OpenJDK failed to properly check whether the ChangeCipherSpec was received during the SSL/TLS connection handshake. An MITM attacker could possibly use this flaw to force a connection to be established without encryption being enabled. (CVE-2014-6593)

Red Hat Bugzilla https://bugzilla.redhat.com/show_bug.cgi?id=1183049 より

Bug 1183049 - (CVE-2014-6593) CVE-2014-6593 OpenJDK: incorrect tracking of ChangeCipherSpec during SSL/TLS handshake (JSSE, 8057555)