Oracle Java の脆弱性対策について(CVE-2018-2938等)

2019年7月17日

省庁・団体名

独立行政法人情報処理推進機構

概要

　Oracle 社が提供する Java SE には脆弱性が存在し、攻撃者に悪用されると、任意のコード（命令）が実行され、コンピュータを制御されるおそれがあります。
　同社からは攻撃された場合の影響が大きい脆弱性であることがアナウンスされているため、できるだけ早急に修正プログラムを適用してください。

対象

サポートされている以下の Oracle 製品が対象です。

• Oracle Java SE 12.0.1
• Oracle Java SE 11.0.3
• Oracle Java SE 8 Update 212
• Oracle Java SE Embedded 8 Update 211
• Oracle Java SE 7 Update 221

対策

脆弱性の解消 - 修正プログラムの適用 -
Oracle 社から提供されている最新版に更新してください。

Java のアップデート方法
次の URL にアクセスし、Java の最新バージョンをインストールしてください。

• https://java.com/ja/download/

※Oracle Java SE 12 をご利用されている場合は、下記URLから最新バージョンを入手してください。

• https://www.oracle.com/technetwork/java/javase/downloads/jdk12-downloads-5295953.html

※Oracle Java SE 11 をご利用されている場合は、下記URLから最新バージョンを入手してください。

• https://www.oracle.com/technetwork/java/javase/downloads/jdk11-downloads-5066655.html

なお、Oracle 社より2019年4月16日以降の Java のリリースについて、ライセンスの変更が案内されております。特に商用利用を行う組織においてはライセンスをご確認の上、ベンダの有償サポートを受ける等の適切な対応をお取りください。なお、IPAではライセンスの詳細やサポートの内容については把握しておりませんので、Oracle 社の公開している情報をご確認いただくか、もしくは直接 Oracle 社にお問合せください。

参考情報

Oracle Critical Patch Update Advisory - July 2019 (Oracle Java SE Risk Matrix)

• https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html#AppendixJAVA

Oracle（Java SE Downloads）

• http://www.oracle.com/technetwork/java/javase/downloads/index.html

CVE

• CVE-2019-7317

MyJVNバージョンチェッカ

～ソフトウェアが最新であるか簡易な操作でチェックすることができます～

• クライアント用（.NET Framework版）

サイバーセキュリティ注意喚起サービス「icat for JSON」

～Webコンテンツ内にHTMLタグを記載することで、IPAから発信する「重要なセキュリティ情報」をリアルタイムに自組織内のWebサイト上などに表示できます。脆弱性対策の促進にご活用ください。～

• https://www.ipa.go.jp/security/vuln/icat.html

詳細・お問い合わせ

• https://www.ipa.go.jp/security/ciadr/vul/20190717-jre.html