ホーム / Windows |

Windows の Java をアップデートしよう ( 8u261 )

2020年7月17日金曜日

Windows

t f B! P L

今回は、Windows に Java のアップデートが来ていたので実施します。

Windows で Java をアップデートしよう(8u251→8u261)


現在の環境には、Java SE JDK/JRE 8u251 が入っています。

バージョンの確認

自分の PC にどのバージョンの Java が入っているかを確認します。
Javaの バージョンは、Java コントロールパネル→[一般]タブ→[バージョン情報(B)] で確認できます。


【Java コントロールパネル】

(i) アップデートの通知が来ている場合
アイコンを右クリックしてプロパティを選択することで、Java コントロールパネルを起動できます。


(ii)アイコンが表示されていない場合
Windowsメニュー→[Windows システムツール]→[コントロールパネル]


で表示されるアイコンから[Java (32 ビット)] のアイコンを選択することで、
Javaコントロールパネルを起動できます。


私の環境では、以下のように、バージョン8の更新251 (ビルド1.8.0_251-b08)
が入っているのが確認できました。
これは、Javaのサイトでみると、Java SE JDK/JRE 8u251に該当します。


(i) アップデートの通知が来ている場合

アイコンを右クリックして[インストール(I)]を選択することで、アップデートができます。


(ii) アイコンが表示されていない場合

Javaコントロールパネルから[更新]タブから[今すぐ更新(U)]でアップデートができます。


  1. [ 更新(U) ] を選択します。



  2. ユーザ制御画面が表示されるので [ はい ] を選択します。


  3. ライセンス条項が更新されているようです。[ 更新されたライセンス契約 ] を選択して内容を確認します。


  4. ライセンス条項が表示されます。


    5. 内容が更新されたという割には、ページの最後の最終更新日が、2019/04/10 となっています。不思議です。更新箇所も不明です。簡単にいうと、「個人情報を収集しますが個人が特定できるようにはしません。万一、何らかの問題が発生してもオラクルは、最大で$1000を超える補償はしません。」というものです。補償金の差こそあれ、一般的なライセンス条項とほぼ同じですね。ちなみに画面左上に [ Visit Oracle.com 日本 ] ありますが、それを押しても英語です。

  5. ライセンス条項を読んで承認できたら、[ インストール ] を選択します。


  6. インストールが開始されます。前バージョンまでは、現バージョンのアンインストールを検出してアンインストールをするか確認されますが、今回から変わったようです。自動アンインストールになっているっぽいです。


  7. インストールが完了した表示ができるので、[閉じる(C)]を選択します。


  8. バージョン8の更新261 (ビルド1.8.0.261-b12) になっています。


これで、アップデート完了です。

アップデート内容

JDK 8u261 Update Release Notes を 確認します。

リリースハイライト
  • タイムゾーンデータバージョンがIANA Data 2020aになりました。
  • JDKの推奨期限は2020/10/20までそれ以降は次バージョンを使ってください。8u261は、2020/11/17にサポート停止となります。
  • 新機能
    • JDK / JREランタイムWindows Visual Studio Library(DLL)依存関係の変更
    • javax.net.ssl のJEP 332トランスポート層セキュリティ(TLS)1.3
    • javax.crypto のJCE管轄ポリシーファイルの更新
    • javax.net.ssl の設定への新しいシステムのプロパティTLS署名方式
    • JDK SunJSSE で RFC 7919のTLS FFDHEメカニズムをサポート
    • Xcode 10.1へのツールチェーンのアップグレード
  • 削除された機能とオプション
    • 期限切れのComodo ルートCA証明書の削除
    • 期限切れのDocuSign ルートCA証明書の削除
  • その他注意事項
    • Ubuntu 20.04 でメディアが再生しない問題があります。
    • より堅牢な配列として、new ArrayList<>(collection) の使用を推奨します。
    • Java Mission ControlがJDKにバンドルされなくなりました。
    • Windows 7 の IE11 でJDK 8u261によりハングする可能性がある。
    • OperatingSystemMXBean のメソッドでコンテナ固有データの返却するよう変更します。
    • デフォルト SSLセッションキャッシュサイズを20480に変更します。
    • BoringSSLOperatingSystemMXBean のメソッドでコンテナ固有データの返却するよう変更します。
    • status_requet拡張が無効になっているとき BoringSSLがJSSE TLS 1.3 https接続を拒否します。
    • GCM暗号スイートの優先順位を上げます。
  • 不具合修正


CVEベースで見ると、以下の11個の修正が入っています。
括弧内は、CVSS3.1のベーススコアになります。内訳は、緊急 0件、重要 3件、警告 3件、注意 5件です。
CVEの詳細を見ていきます。

重要度は、後ろの括弧内のCVSS と スコアからIPAで規定されている重要度で記載しています。

CVE-2020-14664
重要度:重要 ( CVSS 3.1: 8.3 )
内容:不適切な入力検証の脆弱性
危険性:この脆弱性により、リモートの認証されていない攻撃者が任意のコードを実行することが可能になります。この脆弱性は、Java SEのJavaFXコンポーネント内の入力検証が不適切なために発生します。認証されていないリモートの攻撃者がこの脆弱性を悪用して、任意のコードを実行する可能性があります。

CVE-2020-14583
重要度:重要 ( CVSS 3.1: 8.3 )
内容:不適切な入力検証の脆弱性
危険性:この脆弱性により、リモートの認証されていない攻撃者が任意のコードを実行することが可能になります。この脆弱性は、Oracle GraalVM Enterprise EditionのJavaコンポーネント内の入力検証が不適切なために発生します。認証されていないリモートの攻撃者がこの脆弱性を悪用して、任意のコードを実行する可能性があります。

CVE-2020-14593
重要度:重要 ( CVSS 3.1: 7.4 )
内容:不適切な入力検証の脆弱性
危険性:この脆弱性により、リモートの認証されていない攻撃者がデータを操作できるようになります。この脆弱性は、Java SE Embeddedの2Dコンポーネント内の不適切な入力検証が原因で発生します。認証されていないリモートの攻撃者は、この脆弱性を悪用してデータを操作することができます。

CVE-2020-14562
重要度:警告 ( CVSS 3.1: 5.3 )
内容:不適切な入力検証の脆弱性
危険性:この脆弱性により、認証されていないリモートの攻撃者がサービスを妨害することが可能になります。この脆弱性は、Java SEのImageIOコンポーネント内の不適切な入力検証が原因で発生します。認証されていないリモートの攻撃者がこの脆弱性を悪用して、サービスを妨害する可能性があります。

CVE-2020-14621
重要度:警告 ( CVSS 3.1: 5.3 )
内容:不適切な入力検証の脆弱性
危険性:この脆弱性により、リモートの認証されていない攻撃者がデータを操作できるようになります。この脆弱性は、Java SE EmbeddedのJAXPコンポーネント内の不適切な入力検証が原因で発生します。認証されていないリモートの攻撃者は、この脆弱性を悪用してデータを操作することができます。

CVE-2020-14556
重要度:警告 ( CVSS 3.1: 4.8 )
内容:不適切な入力検証の脆弱性
危険性:この脆弱性により、リモートの認証されていない攻撃者がデータを読み取り、操作することが可能になります。この脆弱性は、Java SE Embeddedのライブラリコンポーネント内の入力検証が不適切なために発生します。認証されていないリモートの攻撃者は、この脆弱性を悪用してデータを読み取り、操作することができます。

CVE-2020-14573
重要度:警告 ( CVSS 3.1: 3.7 )
内容:不適切な入力検証の脆弱性
危険性:この脆弱性により、リモートの認証されていない攻撃者がデータを操作できるようになります。この脆弱性は、Java SEのホットスポットコンポーネント内の不適切な入力検証が原因で発生します。認証されていないリモートの攻撃者は、この脆弱性を悪用してデータを操作することができます。

CVE-2020-14581
重要度:警告 ( CVSS 3.1: 3.7 )
内容:不適切な入力検証の脆弱性
危険性:この脆弱性により、認証されていないリモートの攻撃者が機密情報にアクセスできるようになります。この脆弱性は、Java SE Embeddedの2Dコンポーネント内の不適切な入力検証が原因で発生します。認証されていないリモートの攻撃者がこの脆弱性を悪用して、機密情報にアクセスする可能性があります。

CVE-2020-14578
重要度:警告 ( CVSS 3.1: 3.7 )
内容:不適切な入力検証の脆弱性
危険性:この脆弱性により、認証されていないリモートの攻撃者がサービスを妨害することが可能になります。この脆弱性は、Java SE Embeddedのライブラリコンポーネント内の入力検証が不適切なために発生します。認証されていないリモートの攻撃者がこの脆弱性を悪用して、サービスを妨害する可能性があります。

CVE-2020-14579
重要度:警告 ( CVSS 3.1: 3.7 )
内容:不適切な入力検証の脆弱性
危険性:この脆弱性により、認証されていないリモートの攻撃者がサービスを妨害することが可能になります。この脆弱性は、Java SE Embeddedのライブラリコンポーネント内の入力検証が不適切なために発生します。認証されていないリモートの攻撃者がこの脆弱性を悪用して、サービスを妨害する可能性があります。

CVE-2020-14577
重要度:警告 ( CVSS 3.1: 3.7 )
内容:不適切な入力検証の脆弱性
危険性:この脆弱性により、認証されていないリモートの攻撃者が機密情報にアクセスできるようになります。この脆弱性は、Java SE EmbeddedのJSSEコンポーネント内の不適切な入力検証が原因で発生します。認証されていないリモートの攻撃者がこの脆弱性を悪用して、機密情報にアクセスする可能性があります。

まとめ

久々のJavaアップデートです。前回は、4月だったので、約3か月ぶりです。脆弱性も緊急のものはないものの重要3件となっているので、早めにアップデートしておきたいですね。今回から、前バージョンのアンインストールも自動で行われるようです。今回はじめて気づいたのですが脆弱性の種類ってCWE-20の入力検証の不備だけなんですねぇ。Java SEの特徴なんでしょうか?

参考情報


このブログを検索

カテゴリ

Windows (87) Mac (52) ゲーム (34) Linux (30) ブログ (25) iPhone (15) VMware (14) Blogger (10) Android (5) Python (4) HTML (3)

ブログ アーカイブ

書いている人

自分の写真
ブログ初心者です。2020/03 からBlogger ではじめました。

・調べたこと
・うまくいったこと
・うまくいかなかったこと

をありのままを書いて、見てくださっている方の近道・回り道の道しるべになれればと思っています。