情報処理推進機構(IPA: Information-technology Promotion Agency, Japan)は10月20日、「Oracle Java の脆弱性対策について(CVE-2021-3517等):IPA 独立行政法人 情報処理推進機構」において、Oracleが「Oracle Java SE」に対して複数の脆弱性を修正したセキュリティアップデートをリリースしたと伝えた。Oracleからは攻撃に悪用された場合の影響が大きいことがアナウンスされており、早急に修正プログラムを適用するよう呼びかけている。

今回のOracle Java SEのアップデートは、Oracleが19日にリリースした「2021年10月版クリティカルパッチアップデート」に含まれているもの。修正された脆弱性と、それぞれの影響をうけるプロダクトについては、同社が公開している次の表にまとめられている。

  • Oracle Java SE Risk Matrix

    Oracle Java SE Risk Matrix

最も深刻度が高いのはCVE-2021-3517で、これはlibxml2ライブラリxmlエンティティエンコーディング機能に発見された脆弱性だが、Oracle Java SE 8に同梱されているJava FXがlibxml2を使用しているためこの脆弱性の影響を受けるとされている。Oracle Java SE 11やOracle Java SE 17はJava FXを含んでいないため、この脆弱性の影響は受けない。

Oracle Java SEは、オープンソースのJava開発ツールであるOpenJDKのソースコードをもとに、Oracleが独自にビルドしたバイナリとして提供している開発ツールになる。OpenJDKと同一のソースコードを利用しておりほとんどの場合で高い互換性があるが、JavaFXなどOracleが独自に追加している機能もある。そのため、今回修正された脆弱性が他のベンダーが提供しているOpenJDKベースのJava開発ツールにも同様に影響するとは限らないので注意が必要だ。

JPCERT/CCでは、Oracle Java SEを使用しているユーザーおよびシステム管理者に対し、Oracleの呼びかけにしたがって、できるだけ早急にアップデートを適用することを推奨している。