製品・ソフトウェアに関する情報

JVN脆弱性詳細

Oracle Java SE および OpenJDK におけるサービス運用妨害 (CPU 資源の消費) の脆弱性

タイトル	Oracle Java SE および OpenJDK におけるサービス運用妨害 (CPU 資源の消費) の脆弱性
概要	Oracle Java SE および OpenJDK は、ハッシュ衝突を想定した制限を適切に行わずにハッシュ値を算出するため、サービス運用妨害 (CPU 資源の消費) 状態となる脆弱性が存在します。
想定される影響	攻撃者により、ハッシュテーブルを保持するアプリケーションに対する巧妙に細工された入力を介して、サービス運用妨害 (CPU 資源の消費) 状態にされる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2012年6月12日0:00
登録日	2012年11月29日16:03
最終更新日	2012年11月29日16:03

影響を受けるシステム

オラクル

JDK 7 Update 6 未満

JRE 7 Update 6 未満

OpenJDK 7u6 build 12 未満の 7

OpenJDK build 39 未満の 8

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2012-2739	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2739
National Vulnerability Database (NVD)
2	CVE-2012-2739	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-2739

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-310	https://jvndb.jvn.jp/ja/cwe/CWE-310.html

ベンダー情報

No	名前	URL
Oracle
1	Java SE at a Glance	http://www.oracle.com/technetwork/java/javase/overview/index.html
2	OpenJDK	http://openjdk.java.net/
3	Review Request CR#7118743 : Alternative Hashing for String with Hash-based Maps	http://mail.openjdk.java.net/pipermail/core-libs-dev/2012-May/010238.html
Oracle Critical Patch Update
4	Oracle Java SE Critical Patch Update Advisory - June 2012	http://www.oracle.com/technetwork/topics/security/javacpujun2012-1515912.html
Red Hat Bugzilla
5	Bug 750533	https://bugzilla.redhat.com/show_bug.cgi?id=750533

その他

No	名前	URL
JVN
1	JVNVU#903934	http://jvn.jp/cert/JVNVU903934/index.html
US-CERT Vulnerability Note
2	VU#903934	http://www.kb.cert.org/vuls/id/903934

変更履歴

No	変更内容	変更日
0	[2012年11月29日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2012-2739

概要	Oracle Java SE before 7 Update 6, and OpenJDK 7 before 7u6 build 12 and 8 before build 39, computes hash values without restricting the ability to trigger hash collisions predictably, which allows context-dependent attackers to cause a denial of service (CPU consumption) via crafted input to an application that maintains a hash table.
公表日	2012年11月28日22:03
登録日	2021年1月28日14:58
最終更新日	2024年11月21日10:39

影響を受けるソフトウェアの構成

関連情報、対策とツール

No	URL	タグ
1	http://armoredbarista.blogspot.de/2012/02/investigating-hashdos-issue.html	Exploit
2	http://armoredbarista.blogspot.de/2012/02/investigating-hashdos-issue.html	Exploit
3	http://mail.openjdk.java.net/pipermail/core-libs-dev/2012-May/010238.html	Vendor Advisory
4	http://mail.openjdk.java.net/pipermail/core-libs-dev/2012-May/010238.html	Vendor Advisory
5	http://www.kb.cert.org/vuls/id/903934	US Government Resource
6	http://www.kb.cert.org/vuls/id/903934	US Government Resource
7	http://www.nruns.com/_downloads/advisory28122011.pdf
8	http://www.nruns.com/_downloads/advisory28122011.pdf
9	http://www.ocert.org/advisories/ocert-2011-003.html
10	http://www.ocert.org/advisories/ocert-2011-003.html
11	http://www.openwall.com/lists/oss-security/2012/06/15/12
12	http://www.openwall.com/lists/oss-security/2012/06/15/12
13	http://www.openwall.com/lists/oss-security/2012/06/17/1
14	http://www.openwall.com/lists/oss-security/2012/06/17/1
15	https://bugzilla.redhat.com/show_bug.cgi?id=750533
16	https://bugzilla.redhat.com/show_bug.cgi?id=750533

共通脆弱性一覧