Javaに認証なしで不正操作できる脆弱性 影響範囲広く「早急に修正プログラム適用を」

[ITmedia]

　情報処理推進機構（IPA）は4月20日、プログラミング言語「Java」の基本的な実行環境「Java SE」に重大な脆弱（ぜいじゃく）性が見つかったとして注意を呼び掛けた。活用範囲が広く攻撃された場合の影響が大きいため、IPAはできるだけ早急に修正プログラムを適用するよう呼び掛けている。

IPAは早急な修正プログラム適用を呼び掛け

　CVE識別番号はCVE-2022-21449。影響度を示すCVSS v3のベーススコアは、「情報改ざんの可能性がある」として10点中の7.5。この脆弱性を悪用すると、ネットワークアクセスさえできれば認証せずとも、遠隔地からデータやプログラムの不正操作を行える恐れがあるという。

CVEのレポート　CVSS v3のベーススコアは7.5／10

　対象バージョンはOracle Java SE 18、Oracle Java SE 17.0.2、Oracle Java SE 11.0.14、Oracle Java SE 8 Update 321、Oracle Java SE 7 Update 331。

　Java SEはJavaを扱う上でほぼ必須ともいえるコンポーネントであり、影響範囲が広い。修正プログラムはリリース済みのため速やかにアップデートする必要がある。

追記：対象バージョンの修正（2022年4月25日午前11時30分）

　米Oracleは4月25日までに、CVE-2022-21449の脆弱性を持つバージョンの記述を変更した。Java SE 7、Java SE 8、Java SE 11が対象から外れ、同脆弱性を持つのはJava SE 17.0.2とJava SE 18のみとなる。