Javaに認証なしで不正操作できる脆弱性 影響範囲広く「早急に修正プログラム適用を」
情報処理推進機構が、Javaの基本的な実行環境「Java SE」に重大な脆弱性があるとして注意喚起した。活用範囲が広く攻撃された場合の影響が大きいため、早急に修正プログラムを適用するよう呼び掛けている。
情報処理推進機構(IPA)は4月20日、プログラミング言語「Java」の基本的な実行環境「Java SE」に重大な脆弱(ぜいじゃく)性が見つかったとして注意を呼び掛けた。活用範囲が広く攻撃された場合の影響が大きいため、IPAはできるだけ早急に修正プログラムを適用するよう呼び掛けている。
CVE識別番号はCVE-2022-21449。影響度を示すCVSS v3のベーススコアは、「情報改ざんの可能性がある」として10点中の7.5。この脆弱性を悪用すると、ネットワークアクセスさえできれば認証せずとも、遠隔地からデータやプログラムの不正操作を行える恐れがあるという。
対象バージョンはOracle Java SE 18、Oracle Java SE 17.0.2、Oracle Java SE 11.0.14、Oracle Java SE 8 Update 321、Oracle Java SE 7 Update 331。
Java SEはJavaを扱う上でほぼ必須ともいえるコンポーネントであり、影響範囲が広い。修正プログラムはリリース済みのため速やかにアップデートする必要がある。
追記:対象バージョンの修正(2022年4月25日午前11時30分)
米Oracleは4月25日までに、CVE-2022-21449の脆弱性を持つバージョンの記述を変更した。Java SE 7、Java SE 8、Java SE 11が対象から外れ、同脆弱性を持つのはJava SE 17.0.2とJava SE 18のみとなる。
関連記事
- セキュリティベンダーはLog4j脆弱性攻撃にどう対応したか 舞台裏からゼロデイ攻撃対策を再考する
2021年末に発見された「Apache Log4j」の脆弱性。この脆弱性を悪用する攻撃に対峙したセキュリティベンダーは、どんな対処を取ったのか。実際の対応を参考に、ゼロデイ攻撃への対策を考える。 - 増えるサイバー攻撃に経産省が警鐘 産業界へ「セキュリティ対策徹底」呼び掛け
経済産業省の産業サイバーセキュリティ研究会が「産業界へのメッセージ」を発表した。サイバー攻撃が増加傾向にあるとして、対策の徹底、攻撃を受けた際の適切な対応、支援制度の活用を呼び掛けた。 - トレンドマイクロ製品に任意のコードを実行できる脆弱性 修正パッチ適用呼び掛け
情報セキュリティ製品「Trend Micro Apex Central」の脆弱性を悪用したサイバー攻撃が発生している。トレンドマイクロはリリース済みの修正パッチを適用するよう呼び掛けている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.