JPCERT/CCは1月16日、米Oracleが1月15日(現地時間)に複数の製品に対するクリティカルパッチアップデートに関する情報を公開したとして、注意を喚起した。

  • Oracle Critical Patch Update Advisory - January 2019

脆弱性を悪用された場合、リモートからの攻撃によってアプリケーションが不正終了したり、任意のコードが実行されたりするなどの恐れがあるという。

クリティカルパッチアップデートは30以上の製品における284個のセキュリティの修正が含まれているが、JPCERT/CCは主なアップデート対象の製品として、Java SE JDK/JRE、Oracle Database Server、Oracle WebLogic Serverを挙げている。

主なアップデート対象の製品およびバージョンは以下の通り。

  • Java SE JDK/JRE 8 Update 192 およびそれ以前
  • Java SE JDK/JRE 11.0.1 およびそれ以前
  • Oracle Database Server 11.2.0.4
  • Oracle Database Server 12.1.0.2
  • Oracle Database Server 12.2.0.1
  • Oracle Database Server 18c
  • Oracle WebLogic Server 10.3.6.0
  • Oracle WebLogic Server 12.1.3.0
  • Oracle WebLogic Server 12.2.1.3

既に公式アップデートを終了している Java SE JDK/JRE 7 も脆弱性の影響を受けるという。また、Java SE JDK/JRE 6 の Extended Support は 2018年12月に終了しているため、今回のクリティカルパッチアップデートに関する情報では、Java SE JDK/JRE 6 の記載がない。

Oracleからは各製品に対し、修正済みソフトウェアが公開されている。Java SE JDK/JRE 8 Updateについては、クリティカルパッチアップデート (8u201) と同時にアップデート (8u202) が公開されている。8u202 には 8u201 の内容に加え、脆弱性以外の修正も含まれているので、JPCERT/CCは必要に応じて適用を検討するようアドバイスしている。