今回は、Windows に Java のアップデートが来ていたので実施します。
Windows で Java をアップデートしよう(8u251→8u261)
現在の環境には、Java SE JDK/JRE 8u251 が入っています。
バージョンの確認
自分の PC にどのバージョンの Java が入っているかを確認します。
Javaの バージョンは、Java コントロールパネル→[一般]タブ→[バージョン情報(B)] で確認できます。
【Java コントロールパネル】
(i) アップデートの通知が来ている場合
アイコンを右クリックしてプロパティを選択することで、Java コントロールパネルを起動できます。
(ii)アイコンが表示されていない場合
Windowsメニュー→[Windows システムツール]→[コントロールパネル]
で表示されるアイコンから[Java (32 ビット)] のアイコンを選択することで、
Javaコントロールパネルを起動できます。
私の環境では、以下のように、バージョン8の更新251 (ビルド1.8.0_251-b08)
が入っているのが確認できました。
これは、Javaのサイトでみると、Java SE JDK/JRE 8u251 に該当します。
(i) アップデートの通知が来ている場合
アイコンを右クリックして[インストール(I)]を選択することで、アップデートができます。
(ii) アイコンが表示されていない場合
Javaコントロールパネルから[更新]タブから[今すぐ更新(U)]でアップデートができます。
- [ 更新(U) ] を選択します。
- ユーザ制御画面が表示されるので [ はい ] を選択します。
- ライセンス条項が更新されているようです。[ 更新されたライセンス契約 ] を選択して内容を確認します。
- ライセンス条項が表示されます。
- ライセンス条項を読んで承認できたら、[ インストール ] を選択します。
- インストールが開始されます。前バージョンまでは、現バージョンのアンインストールを検出してアンインストールをするか確認されますが、今回から変わったようです。自動アンインストールになっているっぽいです。
- インストールが完了した表示ができるので、[閉じる(C)]を選択します。
- バージョン8の更新
261 (ビルド1.8.0.261-b12 ) になっています。
内容が更新されたという割には、ページの最後の最終更新日が、2019/04/10 となっています。不思議です。更新箇所も不明です。簡単にいうと、「個人情報を収集しますが個人が特定できるようにはしません。万一、何らかの問題が発生してもオラクルは、最大で$1000を超える補償はしません。」というものです。補償金の差こそあれ、一般的なライセンス条項とほぼ同じですね。ちなみに画面左上に [ Visit Oracle.com 日本 ] ありますが、それを押しても英語です。
これで、アップデート完了です。
アップデート内容
JDK 8u261 Update Release Notes を 確認します。
リリースハイライト
- タイムゾーンデータバージョンがIANA Data 2020aになりました。
- JDKの推奨期限は2020/10/20までそれ以降は次バージョンを使ってください。8u261は、2020/11/17にサポート停止となります。
- 新機能
- JDK / JREランタイムWindows Visual Studio Library(DLL)依存関係の変更
- javax.net.ssl のJEP 332トランスポート層セキュリティ(TLS)1.3
- javax.crypto のJCE管轄ポリシーファイルの更新
- javax.net.ssl の設定への新しいシステムのプロパティTLS署名方式
- JDK SunJSSE で RFC 7919のTLS FFDHEメカニズムをサポート
- Xcode 10.1へのツールチェーンのアップグレード
- 削除された機能とオプション
- 期限切れのComodo ルートCA証明書の削除
- 期限切れのDocuSign ルートCA証明書の削除
- その他注意事項
- Ubuntu 20.04 でメディアが再生しない問題があります。
- より堅牢な配列として、new ArrayList<>(collection) の使用を推奨します。
- Java Mission ControlがJDKにバンドルされなくなりました。
- Windows 7 の IE11 でJDK 8u261によりハングする可能性がある。
- OperatingSystemMXBean のメソッドでコンテナ固有データの返却するよう変更します。
- デフォルト SSLセッションキャッシュサイズを20480に変更します。
- BoringSSLOperatingSystemMXBean のメソッドでコンテナ固有データの返却するよう変更します。
- status_requet拡張が無効になっているとき BoringSSLがJSSE TLS 1.3 https接続を拒否します。
- GCM暗号スイートの優先順位を上げます。
- 不具合修正
CVEベースで見ると、以下の11個の修正が入っています。
括弧内は、CVSS3.1のベーススコアになります。内訳は、緊急 0件、重要 3件、警告 3件、注意 5件です。
CVEの詳細を見ていきます。
重要度は、後ろの括弧内のCVSS と スコアからIPAで規定されている重要度で記載しています。
CVE-2020-14664
重要度:重要 ( CVSS 3.1: 8.3 )
内容:不適切な入力検証の脆弱性
危険性:この脆弱性により、リモートの認証されていない攻撃者が任意のコードを実行することが可能になります。この脆弱性は、Java SEのJavaFXコンポーネント内の入力検証が不適切なために発生します。認証されていないリモートの攻撃者がこの脆弱性を悪用して、任意のコードを実行する可能性があります。
CVE-2020-14583
重要度:重要 ( CVSS 3.1: 8.3 )
内容:不適切な入力検証の脆弱性
危険性:この脆弱性により、リモートの認証されていない攻撃者が任意のコードを実行することが可能になります。この脆弱性は、Oracle GraalVM Enterprise EditionのJavaコンポーネント内の入力検証が不適切なために発生します。認証されていないリモートの攻撃者がこの脆弱性を悪用して、任意のコードを実行する可能性があります。
CVE-2020-14593
重要度:重要 ( CVSS 3.1: 7.4 )
内容:不適切な入力検証の脆弱性
危険性:この脆弱性により、リモートの認証されていない攻撃者がデータを操作できるようになります。この脆弱性は、Java SE Embeddedの2Dコンポーネント内の不適切な入力検証が原因で発生します。認証されていないリモートの攻撃者は、この脆弱性を悪用してデータを操作することができます。
CVE-2020-14562
重要度:警告 ( CVSS 3.1: 5.3 )
内容:不適切な入力検証の脆弱性
危険性:この脆弱性により、認証されていないリモートの攻撃者がサービスを妨害することが可能になります。この脆弱性は、Java SEのImageIOコンポーネント内の不適切な入力検証が原因で発生します。認証されていないリモートの攻撃者がこの脆弱性を悪用して、サービスを妨害する可能性があります。
CVE-2020-14621
重要度:警告 ( CVSS 3.1: 5.3 )
内容:不適切な入力検証の脆弱性
危険性:この脆弱性により、リモートの認証されていない攻撃者がデータを操作できるようになります。この脆弱性は、Java SE EmbeddedのJAXPコンポーネント内の不適切な入力検証が原因で発生します。認証されていないリモートの攻撃者は、この脆弱性を悪用してデータを操作することができます。
CVE-2020-14556
重要度:警告 ( CVSS 3.1: 4.8 )
内容:不適切な入力検証の脆弱性
危険性:この脆弱性により、リモートの認証されていない攻撃者がデータを読み取り、操作することが可能になります。この脆弱性は、Java SE Embeddedのライブラリコンポーネント内の入力検証が不適切なために発生します。認証されていないリモートの攻撃者は、この脆弱性を悪用してデータを読み取り、操作することができます。
CVE-2020-14573
重要度:警告 ( CVSS 3.1: 3.7 )
内容:不適切な入力検証の脆弱性
危険性:この脆弱性により、リモートの認証されていない攻撃者がデータを操作できるようになります。この脆弱性は、Java SEのホットスポットコンポーネント内の不適切な入力検証が原因で発生します。認証されていないリモートの攻撃者は、この脆弱性を悪用してデータを操作することができます。
CVE-2020-14581
重要度:警告 ( CVSS 3.1: 3.7 )
内容:不適切な入力検証の脆弱性
危険性:この脆弱性により、認証されていないリモートの攻撃者が機密情報にアクセスできるようになります。この脆弱性は、Java SE Embeddedの2Dコンポーネント内の不適切な入力検証が原因で発生します。認証されていないリモートの攻撃者がこの脆弱性を悪用して、機密情報にアクセスする可能性があります。
CVE-2020-14578
重要度:警告 ( CVSS 3.1: 3.7 )
内容:不適切な入力検証の脆弱性
危険性:この脆弱性により、認証されていないリモートの攻撃者がサービスを妨害することが可能になります。この脆弱性は、Java SE Embeddedのライブラリコンポーネント内の入力検証が不適切なために発生します。認証されていないリモートの攻撃者がこの脆弱性を悪用して、サービスを妨害する可能性があります。
CVE-2020-14579
重要度:警告 ( CVSS 3.1: 3.7 )
内容:不適切な入力検証の脆弱性
危険性:この脆弱性により、認証されていないリモートの攻撃者がサービスを妨害することが可能になります。この脆弱性は、Java SE Embeddedのライブラリコンポーネント内の入力検証が不適切なために発生します。認証されていないリモートの攻撃者がこの脆弱性を悪用して、サービスを妨害する可能性があります。
CVE-2020-14577
重要度:警告 ( CVSS 3.1: 3.7 )
内容:不適切な入力検証の脆弱性
危険性:この脆弱性により、認証されていないリモートの攻撃者が機密情報にアクセスできるようになります。この脆弱性は、Java SE EmbeddedのJSSEコンポーネント内の不適切な入力検証が原因で発生します。認証されていないリモートの攻撃者がこの脆弱性を悪用して、機密情報にアクセスする可能性があります。
まとめ
久々のJavaアップデートです。前回は、4月だったので、約3か月ぶりです。脆弱性も緊急のものはないものの重要3件となっているので、早めにアップデートしておきたいですね。今回から、前バージョンのアンインストールも自動で行われるようです。今回はじめて気づいたのですが脆弱性の種類ってCWE-20の入力検証の不備だけなんですねぇ。Java SEの特徴なんでしょうか?
0 件のコメント:
コメントを投稿