Java Web Start システムクラス実行に関する脆弱性について
アライドテレシス株式会社
2008.05.21
○問題の概要
サン・マイクロシステムズから提供されているJava Web Startには、
本来許可されていないシステムクラスが実行される脆弱性が存在します。
※ Java Web Startは主にJRE(Java Runtime Environment)等に同梱され
ております。
※ 影響を受けるシステム
SDK 1.4.2 Update 13 およびそれ以前
JDK 5 Update 10 およびそれ以前
JRE 1.4.2 Update 13 およびそれ以前
JRE 5 Update 10 およびそれ以前
○当社製品
1) 該当製品
SwimRadiusとSSL VPN-Plusは脆弱性を内在するJREを同梱している
為、本脆弱性に該当致します。
2) 影響
SwimRadiusとSSL VPN-Plusは本脆弱性に該当するJREを同梱してお
りますが、Java Web Startは使用しておりません。
従いまして、お客様が意図的にJava Web Startを使用しない限り、
本脆弱性の影響を受ける事はありません。
3) 対策
Java Web Startを意図的に使用しないで下さい。
尚、SwimRadiusは、Ver.1.1 pl 1より脆弱性対策済みのJREを同梱
しております。
SwimRadius <Ver.1.1 pl 1>
http://www.allied-telesis.co.jp/support/list/nms/swimradius/download.html
○補足:脆弱性関連サイト
1) JVN:
http://jvn.jp/jp/JVN%2344724673/index.html
2) CVE:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2435
|