Oracle Critical Patch Updates / Java8 Update 65が配布されています
こんにちは、れおです。
OracleがCritical Patch Updatesを公開していますね。
Oracle Java SE receives 25 new security fixes, 24 of which are remotely exploitable without authentication. The highest reported CVSS Base Score for these Java SE vulnerabilities is 10.0. 20 of the Java SE vulnerabilities only affect client deployment of Java SE (e.g., Java in the browser). The remaining 5 vulnerabilities affect client and server deployments of Java SE. Java home users should visit the java.com web site, to ensure that they are using the most recent version of Java and remove obsolete JAVA SE versions from their desktop if they are not needed.
Java SEにおいては、24件の認証が不要なリモートから悪用可能な脆弱性が修正されているとのことです。これは早急にアップデートしたほうがよいですね。報告されている最大のCVSS Base Scoreは、10.0とのことです。CVSS Base Scoreは10.0ということは、「リモートから認証なしで機密性がある情報を改竄もしくはそっくり盗み、業務を妨害できる」ということですね…おそろしい。CVSS Base Scoreの計算方法/IPA:共通脆弱性評価システムCVSS概説
過去のJavaのバージョンにおける脆弱性一覧はこちらにあります。
Javaの脆弱性リスト(CVE)
> CVSS Base Scoreの計算CVSS Base Scoreの計算
10.0がどれだけ怖いか、実際に計算してみました。
AV: 攻撃元区分(Access Vector)
avLocal = 0.395 = 0.395
avAdjacentNetwork = 0.646 = 0.646
avNetwork = 1.0 = 1
AC: 攻撃条件の複雑さ(Access Complexity)
acHigh = 0.35 = 0.35
acMiddle = 0.61 = 0.61
acLow = 0.71 = 0.71
Au : 攻撃前の認証要否(Authentication) = 0.704
auMultiple = 0.45 = 0.45
auSingle = 0.56 = 0.56
auNone = 0.704 = 0.704
C : 機密性への影響(情報漏えいの可能性)(Confidentiality Impact) = 10.00084536
cNone = 0.0 = 0
cPartial = 0.275 = 0.275
cComplete = 0.660 = 0.66
I : 完全性への影響(情報改ざんの可能性)(Integrity Impact) = 10.00084536
iNone = 0.0 = 0
iPartial = 0.275 = 0.275
iComplete = 0.660 = 0.66
A : 可用性への影響(業務停止の可能性)(Availability Impact) = 10.00084536
aNone = 0.0 = 0
aPartial = 0.275 = 0.275
aComplete = 0.660 = 0.66
AccessVector = avNetwork = 1
AccessComplexity = acLow = 0.71
Authentication = auNone = 0.704
Exploitability = 20 × AccessVector × AccessComplexity × Authentication = 9.9968
## Imptacts
ConfImpact = cComplete = 0.66
IntegImpact = iComplete = 0.66
AvailImpact = aComplete = 0.66
Impact = 10.41 × (1 - (1 - ConfImpact) × (1 - IntegImpact) × (1 - AvailImpact))) = 10.00084536
BaseScore = ((0.6 × Impact) + (0.4 × Exploitability) - 1.5) × 1.176 = 9.995091206
はい、9.995091206となり、decimalにroundすると。10.0となりますね。
> Soulver便利Soulver便利
こういう計算のときに、SoulverというMacのアプリを使うと見易く紙で計算しているように計算できるので便利です。
> まとめまとめ
今回はJava8 Update65のアップデートとCVSS Base Scoreについてでした。
セキュリティはこまめに対応しないとならないので大変ですね! それでは皆様安全には気をつけて頑張りましょう! ではまた!