情報処理推進機構(IPA: Information-technology Promotion Agency, Japan)は1月22日、「Oracle Java の脆弱性対策について(2025年1月)|情報セキュリティ|IPA 独立行政法人 情報処理推進機構」において、OracleがJavaアプリケーションの開発および実行環境として提供している「Java SE」のセキュリティ更新プログラムをリリースしたと伝えた。

これはOracleが四半期ごとに提供している「Critical Patch Update」の一部としてリリースしたもので、2件の脆弱性を修正している。これら脆弱性を悪用されると、認証されていない攻撃者にデータの一部を不正に更新、挿入、削除、窃取される可能性がある。

  • Oracle Java の脆弱性対策について(2025年1月)|情報セキュリティ|IPA 独立行政法人 情報処理推進機構

    Oracle Java の脆弱性対策について(2025年1月)|情報セキュリティ|IPA 独立行政法人 情報処理推進機構

アップデート対象の製品

セキュリティ更新プログラムの適用対象となるJava製品およびバージョンは次のとおり。

  • Oracle Java SE 23.0.1
  • Oracle Java SE 21.0.5
  • Oracle Java SE 17.0.13
  • Oracle Java SE 11.0.25
  • Oracle Java SE 8 Update 431-perf
  • Oracle Java SE 8 Update 431
  • Oracle GraalVM for JDK 23.0.1
  • Oracle GraalVM for JDK 21.0.5
  • Oracle GraalVM for JDK 17.0.13
  • Oracle GraalVM Enterprise Edition 21.3.12
  • Oracle GraalVM Enterprise Edition 20.3.16

IPAはOracle Java SEのみを対象として掲載しているが、OracleはGraalVMも修正対象としている(参考:「Oracle Critical Patch Update Advisory - January 2025」)。

修正脆弱性

今回のセキュリティ更新プログラムで修正された脆弱性は次のとおり。

  • CVE-2025-0509 - Installコンポーネントに脆弱性(CVSSスコア: 7.3)
  • CVE-2025-21502 - Hotspotコンポーネントに脆弱性(CVSSスコア: 4.8)

CVE-2025-0509はOracle Java SE 8 Update 431のみに影響し、CVE-2025-21502はOracle Java SE 8 Update 431を除く上記製品に影響する。CVE-2025-0509の深刻度は重要(Important)と評価されているが、詳細は公開されていない。

IPAはユーザーおよび管理者に対してOracleの提供する情報を確認するとともに、速やかにアップデートを適用することを推奨している。