Oracle Critical Patch Updates / Java8 Update 65が配布されています

プログラミング#java#update#cvss
reoring
reoring
2015年10月20日 投稿

こんにちは、れおです。

OracleがCritical Patch Updatesを公開していますね。

Java8 Update65-リリースノート

Oracle Java SE receives 25 new security fixes, 24 of which are remotely exploitable without authentication. The highest reported CVSS Base Score for these Java SE vulnerabilities is 10.0. 20 of the Java SE vulnerabilities only affect client deployment of Java SE (e.g., Java in the browser). The remaining 5 vulnerabilities affect client and server deployments of Java SE. Java home users should visit the java.com web site, to ensure that they are using the most recent version of Java and remove obsolete JAVA SE versions from their desktop if they are not needed.

Java SEにおいては、24件の認証が不要なリモートから悪用可能な脆弱性が修正されているとのことです。これは早急にアップデートしたほうがよいですね。報告されている最大のCVSS Base Scoreは、10.0とのことです。CVSS Base Scoreは10.0ということは、「リモートから認証なしで機密性がある情報を改竄もしくはそっくり盗み、業務を妨害できる」ということですね…おそろしい。CVSS Base Scoreの計算方法/IPA:共通脆弱性評価システムCVSS概説

過去のJavaのバージョンにおける脆弱性一覧はこちらにあります。
Javaの脆弱性リスト(CVE)

CVSS Base Scoreの計算

10.0がどれだけ怖いか、実際に計算してみました。

txt
AV: 攻撃元区分(Access Vector)
avLocal = 0.395 = 0.395
avAdjacentNetwork = 0.646 = 0.646
avNetwork = 1.0 = 1

AC: 攻撃条件の複雑さ(Access Complexity)
acHigh = 0.35 = 0.35
acMiddle = 0.61 = 0.61
acLow = 0.71 = 0.71

Au : 攻撃前の認証要否(Authentication) = 0.704
auMultiple = 0.45 = 0.45
auSingle = 0.56 = 0.56
auNone =  0.704 = 0.704

C : 機密性への影響(情報漏えいの可能性)(Confidentiality Impact) = 10.00084536
cNone = 0.0 = 0
cPartial = 0.275 = 0.275
cComplete = 	0.660 = 0.66

I : 完全性への影響(情報改ざんの可能性)(Integrity Impact) = 10.00084536
iNone = 0.0 = 0
iPartial = 0.275 = 0.275
iComplete = 0.660 = 0.66

A : 可用性への影響(業務停止の可能性)(Availability Impact) = 10.00084536
aNone = 0.0 = 0
aPartial = 0.275 = 0.275
aComplete = 0.660 = 0.66

AccessVector = avNetwork = 1
AccessComplexity = acLow = 0.71
Authentication = auNone = 0.704

Exploitability = 20 × AccessVector × AccessComplexity × Authentication = 9.9968

## Imptacts
ConfImpact = cComplete = 0.66
IntegImpact = iComplete = 0.66
AvailImpact = aComplete = 0.66

Impact = 10.41 × (1 - (1 - ConfImpact) × (1 - IntegImpact) × (1 - AvailImpact))) = 10.00084536

BaseScore = ((0.6 × Impact) + (0.4 × Exploitability) - 1.5) × 1.176 = 9.995091206

はい、9.995091206となり、decimalにroundすると。10.0となりますね。

Soulver便利

こういう計算のときに、SoulverというMacのアプリを使うと見易く紙で計算しているように計算できるので便利です。

soulver.png (86.0 kB)

まとめ

今回はJava8 Update65のアップデートとCVSS Base Scoreについてでした。
セキュリティはこまめに対応しないとならないので大変ですね! それでは皆様安全には気をつけて頑張りましょう! ではまた!