Oracle Java SE 2016年4月 Critical Patch Update サーバーへの影響調査

2016年4月 Oracle Java SE のクリティカルパッチアップデートのサーバーへの影響をRedHatの情報を元に調査をしてみた。

所感

JMXを外部にListenしていない限り、緊急性・影響は低い

  • JMXを外部にListenしている場合にはすぐ対策必要
  • 信頼出来ない相手からのXMLを処理しているとDoSられる可能性があるので対策必要

情報ソース

サーバーが対象になる物

http://www.oracle.com/technetwork/security-advisory/cpuapr2016v3-2985753.html#AppendixJAVA で、Notesの2,3なので以下の3つ

  • CVE-2016-3427 JMX BaseScore 9.0 (CVSS v3)
  • CVE-2016-0695 JSSE BaseScore 5.9 (CVSS v3)
  • CVE-2016-3425 JAXP BaseScore 5.3 (CVSS v3)

CVE-2016-3427

https://access.redhat.com/security/cve/CVE-2016-3427

  • critical
  • 6.8
  • AV:N/AC:M/Au:N/C:P/I:P/A:P
It was discovered that the RMI server implementation in the JMX component in OpenJDK did not restrict which classes can be deserialized when deserializing authentication credentials. A remote, unauthenticated attacker able to connect to a JMX port could possibly use this flaw to trigger deserialization flaws.

JMX port にアクセスされると認証無しで色々と悪さをされる

https://bugzilla.redhat.com/show_bug.cgi?id=1328210

unrestricted deserialization of authentication credentials (JMX, 8144430)

JMX のポートを公開していなければ大丈夫だろう

CVE-2016-0695

https://access.redhat.com/security/cve/CVE-2016-0695

  • low
  • 2.6
  • AV:N/AC:H/Au:N/C:P/I:N/A:N

説明無し

https://bugzilla.redhat.com/show_bug.cgi?id=1328022

OpenJDK: insufficient DSA key parameters checks 
It was discovered that the Security component of OpenJDK failed to properly check DSA (Digital Signature Algorithm) parameters. The use of keys with incorrect parameters could lead to disclosure of sensitive data.
Related note in Oracle JDK release notes:

  DSA signature generation is now subject to a key strength check

  For signature generation, if the security strength of the digest algorithm
  is weaker than the security strength of the key used to sign the signature
  (e.g. using (2048, 256)-bit DSA keys with SHA1withDSA signature), the
  operation will fail with the error message:

  "The security strength of SHA1 digest algorithm is not sufficient for this
  key size."

  JDK-8138593 (not public)

DSA署名作る際に弱いハッシュアルゴリズムを選択してもエラーでない

CVE-2016-3425

https://access.redhat.com/security/cve/CVE-2016-3425

  • moderate
  • 4.3
  • AV:N/AC:M/Au:N/C:P/I:N/A:N
It was discovered that the JAXP component in OpenJDK failed to properly handle Unicode surrogate pairs used as part of the XML attribute values. Specially crafted XML input could cause a Java application to use an excessive amount of memory when parsed.

悪意のあるXMLを処理させると膨大なメモリを消費する→DoSられる 信頼出来ない相手からのXMLを処理しているとDoSられる可能性がある