情報処理推進機構(IPA: Information-technology Promotion Agency, Japan)は7月19日、「Oracle Java の脆弱性対策について(CVE-2023-22043等)」において、Oracleが提供しているJavaの開発および実行環境であるOracle Java SEに複数の脆弱性が報告されているとして注意喚起を促した。
報告されている8件の脆弱性はいずれも認証なしでリモートから悪用される可能性がある。なお、これらの脆弱性はOracle Java SEのベースとなったOpenJDKに由来するものであり、Oracle以外が提供しているOpenJDKベースのJDKディストリビューションにも影響するので注意が必要。
Oracle Java SEに報告された脆弱性は以下の通り(括弧内の数字は脆弱性の影響度を表すCVSS v3のベーススコア)。
- CVE-2023-22043 (5.9)
- CVE-2023-22041 (5.1)
- CVE-2023-25193 (3.7)
- CVE-2023-22044 (3.7)
- CVE-2023-22045 (3.7)
- CVE-2023-22049 (3.7)
- CVE-2023-22036 (3.7)
- CVE-2023-22006 (3.1)
これらの脆弱性はOracle Java SEのほかにOracleが独自に提供しているJava仮想マシンのOracle GraalVMにも影響する。また、GraalVMのみに影響する脆弱性として、上記に加えてCVE-2023-22051も報告されている。影響範囲等の詳細はOracleによる次のアドバイザリにまとめられている。
-
Oracle Java SE Risk Matrix
Oracleは、3カ月ごとに実施している同社製品向けのクリティカルパッチアップデートの一部として、Java製品におけるこれらの脆弱性に対する修正パッチをリリースした。したがって、同社のアドバイザリに従って最新版にアップデートすることで脆弱性の影響を回避することができる。
冒頭でも記載したように、Oracle Java SEにおける8件の脆弱性は、ベースとなったOpenJDKに由来している。より正確には、CVE-2023-22043はJavaFXの実装であるOpenJFXに、それ以外がOpenJDKに由来する。したがって、Oracle Java SE以外のOpenJDKベースのJDKディストリビューションにも影響する。詳細はOpenJDKプロジェクトによる次のアドバイザリや、各ディストリビューションの提供元からのアナウンスを参照のこと。
影響を受けるバージョンのJavaを使用しているユーザーは、できるだけ早く修正バージョンにアップデートするこが推奨されている。
