「IBM Cognos 製品におけるJDK/JREの脆弱性(CVE-2010-4476)」への対応について

Comments

内容

IBM Cognos が稼動する IBM JDK/JRE 上で特定の文字列を浮動小数点数値に変換する処理が実行されると、JDK/JRE がハングアップ、無限ループあるいはプロセスダウンに陥り、本来のサービスを継続できなくなります。

Cognos BIおよびCognos Planning 製品では バージョン8.3までの製品(Windowsプラットフォーム製品のみ)にオラクル社のJREを製品に同梱しております。このJREをご利用されている場合においても同様の問題が発生いたします。

問題について

概要

2011年2月の初週に Java クラス・ライブラリーに対する重大なセキュリティー上の脆弱性が公表されました。Java Runtime Environment (JRE) が特定の文字列をバイナリーの浮動小数点値に変換するとハングアップします。この問題がどのように IBM Cognos 製品に影響するかを説明します。

症状

悪意を持つ攻撃者により、特定の文字列をバイナリーの浮動小数点値変換する Java プログラムを IBM Cognos製品が稼動する JRE上で実行されるとこの問題に遭遇する可能性があります。

原因

このセキュリティー・アラートは重大なセキュリティー脆弱性 CVE-2010-4476 に対するものです。この脆弱性により JRE がハングアップ、無限ループ、またはクラッシュするためサービス不能に陥る可能性があります。この問題は他の指数表記で書かれていない数値でも起こりえます。

環境

次の JDK/JRE 環境が当問題の対象になります。

  • Java SE 6 (SR9およびそれ以前のSR)
  • Java SE 5.0 (SR12-FP3およびそれ以前のSR)
  • J2SE 1.4.2 (SR13-FP8およびそれ以前のSR)

また、この影響を受ける可能性のある IBM Cognos 製品については、解決方法にある弊社テクニカルサポートのページをご参照下さい。

解決方法

弊社テクニカルサポート「[Cognos] Javaセキュリティの脆弱性(CVE-2010-4476)について (COG-11-00C)」ページをご参照下さい。

お問い合わせ先

技術的な内容に関して、サービス契約のあるお客様はPAサポート窓口(IBMサービスライン)にお問い合わせ下さい。

PAサポート窓口(IBMサービスライン)
電話:0120-34-0000
受付時間:月曜日~金曜日 9時~17時(祝日、12月30日~1月3日を除く)

変更履歴
2011年3月9日:環境、解決方法の変更
2011年2月25日:内容の見直しおよび修正、概要、症状、解決方法を追加
2011年2月24日:初版公開


ダウンロード可能なリソース


関連トピック


コメント

コメントを登録するにはサインインあるいは登録してください。

static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=60
Zone=Information Management
ArticleID=629270
ArticleTitle=「IBM Cognos 製品におけるJDK/JREの脆弱性(CVE-2010-4476)」への対応について
publish-date=02252011