情報処理推進機構(IPA)はこのほど、OracleがJavaアプリケーションの開発および実行環境「Java SE」のセキュリティ更新プログラムをリリースしたと伝えた。これは四半期ごとに提供されている「Critical Patch Update」の一部としてリリースされたもので、8件の脆弱性の修正が含まれている。

  • Oracle Java の脆弱性対策について(2024年10月)|情報セキュリティ|IPA 独立行政法人 情報処理推進機構

    Oracle Java の脆弱性対策について(2024年10月)|情報セキュリティ|IPA 独立行政法人 情報処理推進機構

アップデート対象のプロダクト

今回、Oracleがリリースしたプロダクトおよびバージョンは以下のとおり。

  • Oracle Java SE 23
  • Oracle Java SE 21.0.4
  • Oracle Java SE 17.0.12
  • Oracle Java SE 11.0.24
  • Oracle Java SE 8 Update 421-perf
  • Oracle Java SE 8 Update 421
  • Oracle GraalVM Enterprise Edition 21.3.12
  • Oracle GraalVM Enterprise Edition 20.3.16

これらはオープンソースで開発されている「OpenJDK」をベースとしたJava開発・実行環境だが、Oracle Java SEがOpenJDKとほぼ同一の機能にサポートが付いているのに対し、Oracle GraalVMはOpenJDKをベースに独自のJava仮想マシンを搭載して提供されている点が大きく異なる。IPAの注意喚起にはOracle Java SEのバージョンのみ掲載されているが、Oracle GraalVMにも同じ脆弱性が含まれる可能性があるので注意が必要。

修正された脆弱性

今回のアップデートでは、次の8件の脆弱性が修正されている。

  • CVE-2024-36138
  • CVE-2023-42950
  • CVE-2024-25062
  • CVE-2024-21235
  • CVE-2024-21210
  • CVE-2024-21211
  • CVE-2024-21208
  • CVE-2024-21217

このうち、CVE-2024-36138はOracle GraalVMのみが、CVE-2024-21210はOracle JavaSEのみが影響を受ける。その他の6件はGraalVMとJavaSEの両方に影響する。

特に深刻度が大きいのはCVE-2024-36138で、CVSSv3のベーススコアは8.1とされている。この脆弱性はGraalVMが利用しているNode.jsのコードに由来する。Node.jsでは以前に通称「BatBadBut」と呼ばれるコマンド・インジェクションの脆弱性(CVE-2024-27980)が発見され、その修正版がリリースされた。しかし修正が不十分であったことから、対策を回避して攻撃することが可能だった。今回のアップデートはその不十分な対策を修正したものになる。

それぞれの脆弱性と影響を受けるプロダクトおよびバージョンについては、Oracleによる次のページにまとめられている。

  • Oracle Java SE Risk Matrix

    Oracle Java SE Risk Matrix

なお、Oracle JavaSEに影響を与える(CVE-2024-36138以外の)7件の脆弱性はベースとなっているOpenJDKに含まれるものであるため、Oralce JavaSE以外のOpenJDKベースのJavaディストリビューションも影響を受ける可能性がある。

IPAは、上記のセキュリティ情報をチェックするとともに、必要に応じてアップデートを適用することを推奨している。