2015年1月 Oracle Java SE のクリティカルパッチアップデートのサーバーへの影響調査
2015年1月 Oracle Java SE のクリティカルパッチアップデートのサーバーへの影響調査をしてみた。
- https://www.jpcert.or.jp/at/2015/at150003.html
- http://www.oracle.com/technetwork/topics/security/cpujan2015-1972971.html
結論
- 影響は小さめ
- network経由で攻撃できるのは、
- localのもBase Score 5.4で大きくはない
調査詳細
Oracle Java SE Risk Matrix よりサーバが対象の物を抽出
Oracleのから情報はこれだけ http://www.oracle.com/technetwork/topics/security/cpujan2015-1972971.html#AppendixJAVA
Notes: で対象がわかる * 1.client only (Java Web and Applet) * 2.client only * 3.server * 4.server (JSSE)
なので、3,4なものが対象となる。
対象となるのは以下の4つ
CVE No | Access Vector | CVSS 2.0 Base Score | RISK |
---|---|---|---|
CVE-2015-0383 | local | 5.4 | Integrity and Availability |
CVE-2015-0410 | network | 5.0 | only Availability |
CVE-2014-3566 | Network | 4.3 | only Confidentiality |
CVE-2014-6593 | Network | 4.0 | Confidentiality and Integrity |
Access Vectorがnetworkなものを詳しく
こういうときはRedHatの情報が非常に便利
CVE-2015-0410
DoS系 Important: java-1.7.0-openjdk security update https://rhn.redhat.com/errata/RHSA-2015-0068.html より
A flaw was found in the way the DER (Distinguished Encoding Rules) decoder in the Security component in OpenJDK handled negative length values. A specially crafted, DER-encoded input could cause a Java application to enter an infinite loop when decoded. (CVE-2015-0410)
Red Hat Bugzilla https://bugzilla.redhat.com/show_bug.cgi?id=1183044 より
Bug 1183044 - (CVE-2015-0410) CVE-2015-0410 OpenJDK: DER decoder infinite loop (Security, 8059485)
CVE-2014-3566
このCVE noは、POODLE SSLv3
CVE-2014-6593
Important: java-1.7.0-openjdk security update https://rhn.redhat.com/errata/RHSA-2015-0068.html より
It was discovered that the SSL/TLS implementation in the JSSE component in OpenJDK failed to properly check whether the ChangeCipherSpec was received during the SSL/TLS connection handshake. An MITM attacker could possibly use this flaw to force a connection to be established without encryption being enabled. (CVE-2014-6593)
Red Hat Bugzilla https://bugzilla.redhat.com/show_bug.cgi?id=1183049 より
Bug 1183049 - (CVE-2014-6593) CVE-2014-6593 OpenJDK: incorrect tracking of ChangeCipherSpec during SSL/TLS handshake (JSSE, 8057555)