| 概要 | Multiple vulnerabilities in Oracle Java 7 before Update 11 allow remote attackers to execute arbitrary code by (1) using the public getMBeanInstantiator method in the JmxMBeanServer class to obtain a reference to a private MBeanInstantiator object, then retrieving arbitrary Class references using the findClass method, and (2) using the Reflection API with recursion in a way that bypasses a security check by the java.lang.invoke.MethodHandles.Lookup.checkSecurityManager method due to the inability of the sun.reflect.Reflection.getCallerClass method to skip frames related to the new reflection API, as exploited in the wild in January 2013, as demonstrated by Blackhole and Nuclear Pack, and a different vulnerability than CVE-2012-4681 and CVE-2012-3174. NOTE: some parties have mapped the recursive Reflection API issue to CVE-2012-3174, but CVE-2012-3174 is for a different vulnerability whose details are not public as of 20130114. CVE-2013-0422 covers both the JMX/MBean and Reflection API issues. NOTE: it was originally reported that Java 6 was also vulnerable, but the reporter has retracted this claim, stating that Java 6 is not exploitable because the relevant code is called in a way that does not bypass security checks. NOTE: as of 20130114, a reliable third party has claimed that the findClass/MBeanInstantiator vector was not fixed in Oracle Java 7 Update 11. If there is still a vulnerable condition, then a separate CVE identifier might be created for the unfixed issue. |
|---|---|
| 概要 | Múltiples vulnerabilidades en Java de Oracle versión 7 anterior a Update 11, permiten a los atacantes remotos ejecutar código arbitrario mediante (1) utilizando el método público getMBeanInstantiator en la clase JmxMBeanServer para obtener una referencia a un objeto MBeanInstantiator privado, a continuación, recuperar referencias arbitrarias Class mediante el método findClass y (2) mediante la API Reflection con recursión de una manera que omita una comprobación de seguridad mediante el método java.lang.invoke.MethodHandles.Lookup.checkSecurityManager debido a la incapacidad del método sun.reflect.Reflection.getCallerClass para omitir marcos relacionados con la nueva API reflection, como se explotó “in the wild” en Enero de 2013, como es demostrado por Blackhole y Nuclear Pack, y una vulnerabilidad diferente de CVE-2012-4681 y CVE-2012-3174. NOTA: algunas partes han mapeado el problema recursivo de la API Reflection al CVE-2012-3174, pero el CVE-2012-3174 es para una vulnerabilidad diferente cuyos detalles no son públicos a partir de 20130114. El CVE-2013-0422 cubre los problemas de JMX/MBean y API Reflection. NOTA: originalmente se informó que Java versión 6 también era vulnerable, pero el reportero se ha retractado de esta afirmación, declarando que Java versión 6 no es explotable porque el código relevante se llama de una manera que no omita las comprobaciones de seguridad. NOTA: a partir de 20130114, un tercero confiable ha afirmado que el vector findClass/MBeanInstantiator no se corrigió en Java de Oracle versión 7 Update 11. Si todavía hay una condición vulnerable, se podría crear un identificador CVE independiente para el problema no corregido. |
| 公表日 | 2013年1月11日6:55 |
| 登録日 | 2021年1月26日15:33 |
| 最終更新日 | 2026年4月22日4:02 |
| CVSS3.1 : CRITICAL | |
| スコア | 9.8 |
|---|---|
| ベクター | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 低 |
| 攻撃に必要な特権レベル(PR) | 不要 |
| 利用者の関与(UI) | 不要 |
| 影響の想定範囲(S) | 変更なし |
| 機密性への影響(C) | 高 |
| 完全性への影響(I) | 高 |
| 可用性への影響(A) | 高 |
| CVSS2.0 : HIGH | |
| スコア | 10.0 |
|---|---|
| ベクター | AV:N/AC:L/Au:N/C:C/I:C/A:C |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 低 |
| 攻撃前の認証要否(Au) | 不要 |
| 機密性への影響(C) | 高 |
| 完全性への影響(I) | 高 |
| 可用性への影響(A) | 高 |
| 全ての特権を取得 | いいえ |
| ユーザー権限を取得 | いいえ |
| その他の権限を取得 | いいえ |
| ユーザー操作が必要 | はい |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:oracle:jdk:1.7.0:-:*:*:*:*:*:* | |||||
| cpe:2.3:a:oracle:jdk:1.7.0:update1:*:*:*:*:*:* | |||||
| cpe:2.3:a:oracle:jdk:1.7.0:update10:*:*:*:*:*:* | |||||
| cpe:2.3:a:oracle:jdk:1.7.0:update2:*:*:*:*:*:* | |||||
| cpe:2.3:a:oracle:jdk:1.7.0:update3:*:*:*:*:*:* | |||||
| cpe:2.3:a:oracle:jdk:1.7.0:update4:*:*:*:*:*:* | |||||
| cpe:2.3:a:oracle:jdk:1.7.0:update5:*:*:*:*:*:* | |||||
| cpe:2.3:a:oracle:jdk:1.7.0:update6:*:*:*:*:*:* | |||||
| cpe:2.3:a:oracle:jdk:1.7.0:update7:*:*:*:*:*:* | |||||
| cpe:2.3:a:oracle:jdk:1.7.0:update9:*:*:*:*:*:* | |||||
| cpe:2.3:a:oracle:jre:1.7.0:-:*:*:*:*:*:* | |||||
| cpe:2.3:a:oracle:jre:1.7.0:update1:*:*:*:*:*:* | |||||
| cpe:2.3:a:oracle:jre:1.7.0:update10:*:*:*:*:*:* | |||||
| cpe:2.3:a:oracle:jre:1.7.0:update2:*:*:*:*:*:* | |||||
| cpe:2.3:a:oracle:jre:1.7.0:update3:*:*:*:*:*:* | |||||
| cpe:2.3:a:oracle:jre:1.7.0:update4:*:*:*:*:*:* | |||||
| cpe:2.3:a:oracle:jre:1.7.0:update5:*:*:*:*:*:* | |||||
| cpe:2.3:a:oracle:jre:1.7.0:update6:*:*:*:*:*:* | |||||
| cpe:2.3:a:oracle:jre:1.7.0:update7:*:*:*:*:*:* | |||||
| cpe:2.3:a:oracle:jre:1.7.0:update9:*:*:*:*:*:* | |||||
| cpe:2.3:o:canonical:ubuntu_linux:12.10:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:opensuse:opensuse:12.2:*:*:*:*:*:*:* | |||||
| タイトル | Oracle Java 7 に脆弱性 |
|---|---|
| 概要 | Oracle が提供する Java 7 には、任意のコードが実行可能な脆弱性が存在します。 Oracle が提供する Java 7 には、Java のサンドボックスを回避され、任意のコードが実行可能な脆弱性が存在します。 なお、本脆弱性を使用した攻撃コードが公開されており、攻撃も観測されています。 |
| 想定される影響 | 細工された Java アプレットが埋め込まれたウェブページや、Java Network Launching Protocol (JNLP) ファイルを開くことで、任意のコードが実行される可能性があります。 |
| 対策 | [アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 開発者が公表している Oracle Security Alert CVE-2013-0422 (※1) には、Java 7 Update 11 (7u11) において、本脆弱性 (CVE-2013-0422) および脅威の高い別の脆弱性 (CVE-2012-3174) が修正されている、と記載されています。 ※1:http://www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html 一方、Immunity 社は、2013年1月14日のブログ記事 Confirmed: Java only fixed one of the two bugs. (※2) で、Java 7 Update 11 は CVE-2013-0422 のうち、Reflection API に関する脆弱性のみを修正し、JmxMBeanServer Class に関する脆弱性の修正は不完全である、と述べています。 ※2:http://immunityproducts.blogspot.ca/2013/01/confirmed-java-only-fixed-one-of-two.html ウェブブラウザ上で Java を実行する必要がないユーザは、最新版へアップデートした上で以下の回避策をとることが推奨されます。 [ワークアラウンドを実施する] 以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。 また、本ワークアラウンドは、今後新たに Java の脆弱性が発見された場合においても、脆弱性の影響を軽減できる可能性があります。 * ウェブブラウザの Java プラグインを無効にする |
| 公表日 | 2013年1月11日0:00 |
| 登録日 | 2013年1月11日14:47 |
| 最終更新日 | 2014年8月25日17:17 |
| オラクル |
| JDK 7 Update 10 およびそれ以前 |
| JRE 7 Update 10 およびそれ以前 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2013年01月11日] 掲載 [2013年01月15日] 影響を受けるシステム:オラクル (Oracle Security Alert for CVE-2013-0422) の情報を更新 ベンダ情報:オラクル (Oracle Security Alert for CVE-2013-0422) を更新 ベンダ情報:オラクル (JDK 7u11 Release Notes) を更新 対策:内容を更新 CWE による脆弱性タイプ一覧:CWE-ID を追加 [2013年01月17日] ベンダ情報:富士通 (Oracle Corporation Javaプラグインの脆弱性に関するお知らせ) を追加 ベンダ情報:富士通 (Java SE 7 の脆弱性問題(CVE-2013-0422)対応について) を追加 ベンダ情報:富士通 (TA13-010A) を追加 [2013年01月28日] ベンダ情報:オラクル (Java SE Downloads) を更新 対策:内容を更新 [2013年02月07日] ベンダ情報:レッドハット (RHSA-2013:0156) を追加 ベンダ情報:Ubuntu (USN-1693-1) を追加 [2013年02月13日] 対策:内容を更新 [2013年02月21日] ベンダ情報:openSUSE (openSUSE-SU-2013:0199) を追加 ベンダ情報:レッドハット (RHSA-2013:0165) を追加 [2013年05月27日] ベンダ情報:富士通 (TA13-141A) を追加 [2013年06月30日] ベンダ情報:IBM (1622884) を追加 [2014年08月25日] 参考情報:関連文書 (MGASA-2013-0018) を追加 |
2018年2月17日10:37 |