APC セキュリティ勧告 - Java Runtime Environmentの信頼されないアプレットがより上位の特権を取得する
|
|
要 約
|
この文書では、「APC セキュリティ勧告 - Java Runtime Environmentの信頼されないアプレットがより上位の特権を取得する」について記述しています。
|
|
内 容
|
内容:
APC セキュリティ勧告 - Java Runtime Environmentの信頼されないアプレットがより上位の特権を取得する
Sun Alert ID: 101749, 102171, 102934, 102995にともない弊社製品群において条件によりその影響を受ける可能性があるものについて情報を提供いたします。
【問題の概要】
この問題はSun Microsystems社のJavaの実行環境「Java Runtime Environment (JRE)」の信頼されないアプレットがより上位の特権を取得する問題で、JREの複数のバージョンに存在します(参考資料[1]参照)。
PowerChute Business Edition及びPowerChute Network Shutdownは脆弱性のあるJREをインストールするもしくは既にインストールされた環境に準じた対象のJREを使用している可能性があります。しかし、この脆弱性が悪用されるのは、APC製品がインストールしたJREにおいて、信頼されないJavaアプレットが実行された場合のみです。これには、APC製品がインストールしたJREをローカルシステムのWebブラウザに関連付ける、もしくは、このJREを標準の実行パスに含む必要があります。
PowerChute Network Shutdown はシステムにインストールされているJREを使用することがあります。システムにインストールされているJREは、ローカルシステムのWebブラウザに関連付けられる、もしくは、標準の実行パスに含まれることが多いため、システム管理者によりシステムにインストールされているJRE全てをこの問題の修正済みバージョンにアップデートする必要があります。
PowerChute Business Edition(PowerChute Business Edition v7.0.4 for Solaris以外)はシステムにインストールされているJREを使用せず、自身の動作に限定する形態にてJREをインストールし、使用しております。
【緊急度】
低 : APC製品がインストールする、脆弱性のあるJREの場合
緊急 : システムにインストールされた、脆弱性のあるJREの場合
【対象製品】
下記の製品は脆弱性のあるJREをインストールする可能性があります。これらの製品は、次期リリースバージョンにおいてこの問題の修正済みJREを使用します。
・PowerChute Business Edition v7.0.4 以降 for Windows, Linux, Solaris
・PowerChute Network Shutdown v2.2〜 2.2.1
【軽減要因】
PowerChute Business Edition 及びPowerChute Network Shutdownのインストーラは、パッケージされたJREをローカルシステムのWebブラウザに関連付けることはしません。また、パッケージされたJREを標準の実行パスに含むこともありません。
その為、APC製品がインストールするJREはシステム管理者が設定しない限り、信頼されないJavaアプレットを実行する可能性は極めて低いものとなります。
【推奨する対処方法】
● PowerChute Business Edition v7.0.4 以降 をお使いのお客様の場合:
<Windows・Linuxの場合>
1. APCジャパンのWebサイト(http://www.apc.com/jp/s/Download/index.cfm)を確認します。
2. 「パッチモジュール」のページより、御使用のOSに対応する「PowerChute Business Edition JRE Configuration Tool」をダウンロードします。
モジュール
・Windows
・Linux
ドキュメント (Readme.txt)
3. ソフトウェア対応表でサポートされているバージョンのJREをマシンにインストールします。ダウンロードした「PowerChute Business Edition JRE Configuration Tool」を使用してPowerChtue Business Editionが使用するJREを指定します。
<Solairsの場合>
・v7.0.5 以降の Solarisエージェントを使用しているお客様の場合:
APCジャパンのWebサイト「パッチモジュール」ページ(下記URL)より「PowerChute Business Edition JRE Configuration Tool」をダウンロードし、適用してください。
・v7.0.4 Solarisエージェントを使用しているお客様の場合:
SolarisエージェントはシステムにインストールされているJREが使用されることがあります。以下の手順でSolaris エージェントが使用しているJREがシステムにインストールされているJREであるか、もしくはAPC製品がインストールしたJREであるかを確認してください。
1. Solarisエージェントが使用しているJavaを以下のコマンドで確認してください。
% cat /opt/APC/PowerChuteBusinessEdition/Agent/bin/startup
(デフォルトディレクトリにインストールされている場合)
上記の表示の結果 :
A: Javaへのパス: /usr/local/bin/jvm/1.4.2/bin/java の場合
→ 手順2にお進みください。
B: Javaへのパスが上記に該当しない場合、Solaris エージェントはシステムにインストールされているJavaを使用しております
→ 手順3にお進みください。
2. 手順1で確認した起動スクリプトの11行目のJavaへのパスが以下に該当する場合、SolarisエージェントはAPC製品がインストールしたJREを使用しておりますので、
ソフトウェア対応表でサポートされているバージョンのJREをマシンにインストールします。ダウンロードした「PowerChute Business Edition JRE Configuration Tool」(下記URL)を使用してPowerChtue Business Editionが使用するJREを指定します。
3. システムにインストールされているJREを使用している場合:
1. Sun社の推奨[1]に従い、システムにインストールされている脆弱性のあるJRE全てをこの問題の修正済みバージョンにアップデートする
2. APCジャパンのWebサイト「パッチモジュール」ページ(下記URL)より「PowerChute Business Edition JRE Configuration Tool」をダウンロードし、適用してください。
● PowerChute Network Shutdown v2.2.x をお使いのお客様の場合:
PowerChute Network Shutdown v2.2.1はJRE1.4.2を同梱しております。
インストール時にシステムにおけるJREの有無とバージョンを確認し、システムに存在するJavaのバージョンが1.4.2よりも前であった場合、JRE 1.4.2をインストールします。 システムでメディアよりも新しいJREバージョンが見つかった場合、システムにインストールされているものを使用します。 (v2.2については同梱のJREならびにインストール時に確認するJavaのバージョンは1.4.1になります)
・確認事項
APC製品がインストールするJREの場合:
APC製品がインストールするJREがローカルシステムのWebブラウザと関連付けられていないこと、また標準の実行パスに含まれていないことを確認します。
APC製品がインストールするJREを使用している場合はJREのインストール先は以下に記載の「インストール先」となり、JREのインストール先ディレクトリへのパスが以下に記載の「レジストリ」(Windowsの場合)もしくは「起動スクリプト」(Linux/Solarisの場合)に含まれます。
・Windowsの場合:
インストール先:C:¥Program Files¥jvm
レジストリ:マイコンピュータ
¥HKEY_LOCAL_MACHINE¥SYSTEM¥CurrentControlSet¥Services¥PowerChuteNetShut¥Parameters¥Applicationのデータパス
・Windows x64の場合:
インストール先:C:¥Program Files (x86)¥jvm
レジストリ:マイコンピュータ¥HKEY_LOCAL_MACHINE¥SYSTEM¥CurrentControlSet¥Services¥PowerChuteNetShut¥Parameters¥Applicationのデータパス
・Linuxの場合:
インストール先:/usr/local/bin/jvm
起動スクリプト:<インストールディレクトリ>/powerchute.shの9 行目のjavaへのパス
・Solarisの場合:
インストール先:/usr/bin/jvm
起動スクリプト:<インストールディレクトリ>/powerchute.shの9 行目のjavaへのパス
・対処方法
システムにインストールされているJREの場合:
1. Sun社の推奨(参考資料[1])に従い、システムにインストールされている脆弱性のあるJRE全てをこの問題の修正済みバージョンにアップデートします。
2. PowerChute Network Shutdownをアンインストールします。(※2)
3. PowerChute Network Shutdownを再インストールします。
APC製品がインストールしたJREを削除する必要がある場合は、以下の方法で削除してください:
1. PowerChute Network Shutdownをアンインストールします。(※2)
2. Sun社の推奨(参考資料[1])に従い、この問題の修正済みバージョンのJREをインストールします。
3. PowerChute Network Shutdownを再インストールします。
4. APC製品がインストールしたJREがシステムに残っている場合は、他のアプリケーションがそのJREを使用していないことを確認して、削除します。
(※2)PowerChute Network Shutdownをアンインストールする際には、事前に現在設定されている項目を控えてください
【情報開示と一般公開】
APCは、本勧告に記載されている脆弱性が悪用された事例は認識しておりません。
本告知のステータス: アクティブ
本勧告はアクティブです。APCは本勧告の全内容の正確性を保証はできませんが、全ての情報は弊社の可能な限り確認済みです。 APCは事実に重要な変更がない限り、本勧告の更新を行う予定はありません。事実に重要な変更がある場合は、本勧告の更新を行う場合があります。本セキュリティ勧告のスタンドアロンコピーまたはパラフレーズは、 APCの関知しないコピーであり、重要な情報や事実が欠けていたり、事実誤認が含まれている場合があります。
APC、その役員、取締役、関係者又は従業員は、ここに記載されている情報の使用又は実行に伴い生ずる損失等、特別損害、間接損害、偶発的損害又は結果損害については、損害の態様又は責任の根拠を問わず、契約責任、法定責任又は不法行為責任(過失責任を含む)等の請求の理由を問わず、APCが損害の可能性について認知していたか否かに関わらず、かつ、法的救済方法によっても損害を補填されていない場合であっても、責任を負いません。
本ウェブサイトからダウンロード可能なソフトウェアは、APC及び/又はその提供者の著作物であり、無保証で提供されるものです。ライセンス契約に基づいて保証される場合を除き、明示、黙示、法定を問わず、市場性、特定目的適合性、所有権及び権利侵害の不存在の保証及び条件を含む、APCは当該ソフトウェアに関する保証及び条件を全て放棄します。
【配布】
この勧告および今後の更新はAPCのウェブサイトに掲載される予定です。
【参考資料[1]】
英語
:http://sunsolve.sun.com/search/document.do?assetkey=1-26-101749-1
:http://sunsolve.sun.com/search/document.do?assetkey=1-26-102171-1
:http://sunsolve.sun.com/search/document.do?assetkey=1-26-102934-1
:http://sunsolve.sun.com/search/document.do?assetkey=1-26-102995-1
日本語
:http://jp.sunsolve.sun.com/search/document.do?assetkey=1-26-101749-3
:http://sunsolve.sun.com/search/document.do?assetkey=1-26-102171-3
:http://sunsolve.sun.com/search/document.do?assetkey=1-26-102995-3
【更新履歴】
2006年02月 本情報の公開開始
2007年10月 Sun Alert ID :102934、102995を対象に追加、
推奨する対処方法のPowerChute Business Editionについて、パッチ適用からConfigration Toolによる対処方法に案内を変更
著作権
This notice is Copyright 2007 by American Power Conversion Corporation.
本通知は、完全で変更が加えられることなく、かつ、全ての日付とバージョン情報が含むことを条件に、再配布可能です。
|
|
|
前のページに戻る
|
|