IBM Support

【重要情報】 JRE/JDKが特定の文字列の数値変換でハングすることによるサービス不能の脆弱性 (CVE-2010-4476) (PM32387)

Troubleshooting


Problem

特定の文字列をバイナリーの浮動小数点数に変更するときにJava Runtime Environmentがハングします。PM32387はWebSphere Application Server製品に関する全ての関連APAR情報を含む包括的なAPARです。

Symptom

この文書は重要なセキュリティの問題として報告されているCVE-2010-4476(Java Runtime Environment hangs when converting "2.2250738585072012e-308" to a binary floating-point number) を解決するためのものです。Webベースであるかどうかに関わらず全てのアプリケーションがリモート攻撃による深刻なリスクをもちます。この脆弱性によってJava Runtime Environment (JRE) がハング、無限ループ、あるいはクラッシュするめにサービス不能に陥る可能性があります。この問題は他の指数表記で書かれていない数値(小数点以下324桁の表現)でも起こりえます。また、アプリケーション・サーバーがこの攻撃にさらされることに加えて、Double.parseDouble()、DoubleのコンストラクターおよびDouble.valueOf()を使ったJavaプログラムやお客様のアプリケーション、もしくはサード・パーティー製のアプリケーションでも同様のリスクがあります。

最新の情報についてはこちらをご参照ください。
IBM Denial of Service Security Exposure with Java JRE/JDK hanging when converting 2.2250738585072012e-308 number (CVE-2010-4476) (PM32387)

Environment

次のプラットフォーム、バージョンで出荷されたJava Development Kit(以下、JDK)が該当します。

対象プラットフォーム:

分散系プラットフォーム(AIX、Linux、Windows、Solaris、HP-UX)
i5/OS
z/OS

対象バージョン:

IBM WebSphere Application Server V7.0 から V7.0.0.13
IBM WebSphere Application Server V6.1 から V6.1.0.35
IBM WebSphere Application Server V6.0 から V6.0.2.43

なお、この問題はV7.0.0.13、V6.1.0.35、V6.0.2.43より後にリリースされるJDKでは発生しません。
WebSphere Application Serverで出荷されているJDKパッケージは単独での導入が可能です。
IBM HTTP Serverはこの問題の影響は受けません。

注記: この問題はJavaのクラスライブラリ内で修正されています。そのためJavaを使用した全ての製品で発生しうる問題です。

Resolving The Problem

この問題に対する修正を含んだ各JDK用のInterim Fixを適用してください。

回避策はございません。

分散系プラットフォーム用 WebSphere Application Serverの場合:

WebSphere Application Serverの各バージョンに対して2つのInterim Fixがあります。WebSphere Application Serverの現在ご使用のバージョンに応じて、いずれか一つのInterim Fixをダウンロードして適用してください。

注記:下記のいずれかのInterim Fixの適用により、現在ご使用のJDKのレベルは、この問題に対する修正の適用に加えて、更に各Interim Fixの説明に記載されたSR(およびFP)レベルに更新されます。




V7.0 ~ V7.0.0.13:
PM32175: JDK 6 SR8-FP1 (V7.0.0.13で出荷)とInterim Fix IZ94423を含んだJDKに更新します。
Fix Centralもしくは上のリンクからダウンロードして適用してください。

PM32173: JDK 6 SR7 (V7.0.0.11とV7.0.0.9で出荷)とInterim Fix IZ94423を含んだJDKに更新します。
Fix Centralもしくは上のリンクからダウンロードして適用してください。

V6.1 ~ V6.1.0.35:
PM32177: JDK 5 SR12-FP2 (V6.1.0.35で出荷)とInterim Fix IZ94331を含んだJDKに更新します。
Fix Centralもしくは上のリンクからダウンロードして適用してください。

PM32184:JDK 5 SR12 (V6.1.0.33で出荷)とInterim Fix IZ94331を含んだJDKに更新します。
Fix Centralもしくは上のリンクからダウンロードして適用してください。


V6.0.2 ~ V6.0.2.43:
PM32192: JDK 142 SR13-FP5 (V6.0.2.43で出荷)とInterim Fix PM31983を含んだJDKに更新します。
Fix Centralもしくは上のリンクからダウンロードして適用してください。


PM32194: JDK 142 SR13-FP4 (V6.0.2.41で出荷)とInterim Fix PM31983を含んだJDKに更新します。
Fix Centralもしくは上のリンクからダウンロードして適用してください。

最新の情報についてはこちらをご参照ください。


IBM Denial of Service Security Exposure with Java JRE/JDK hanging when converting 2.2250738585072012e-308 number (CVE-2010-4476) (PM32387)


z/OS用 WebSphere Application Serverの場合: 

WebSphere Application Serverのバージョン、サービスレベルに応じた++APARを適用してください。


注記: ++APARはIBM Support Centerより入手可能です。++APARは他の++APARが適用されていないシステムに対して、かつ、以下に示すサービスレベルに対して提供されます。

V7.0 ~ V7.0.0.13:
1. 以下に示すサービスレベルのいずれかに更新してください。
2. サービスレベルに応じた++APARをIBM Support Centerより入手してください。
PM32238: JDK 6 SR8-FP1 (V7.0.0.13で出荷)とInterim Fix IZ94423を含んだJDKに更新します。
PM32241: JDK 6 SR7 (V7.0.0.12で出荷)とInterim Fix IZ94423を含んだJDKに更新します。
PM32248: JDK 6 SR7 (V7.0.0.11で出荷)とInterim Fix IZ94423を含んだJDKに更新します。
PM32250: JDK 6 SR7 (V7.0.0.09で出荷)とInterim Fix IZ94423を含んだJDKに更新します。

V6.1 ~ V6.1.0.35:
1. 以下に示すサービスレベルのいずれかに更新してください。
2. サービスレベルに応じた++APARをIBM Support Centerより入手してください。
PM32254: JDK 5 SR12-FP2 (V6.1.0.35で出荷)とInterim Fix IZ94331を含んだJDKに更新します。
PM32271: JDK 5 SR12-FP1 (V6.1.0.33で出荷)とInterim Fix IZ94331を含んだJDKに更新します。

V6.0.2 ~ V6.0.2.43:
1. 以下に示すサービスレベルに更新してください。
2. サービスレベルに応じた++APARをIBM Support Centerより入手してください。
PM32272: JDK 142 SR13-FP5 (V6.0.2.43で出荷)とInterim Fix PM31983を含んだJDKに更新します。

注記:上記に示したサービスレベルと異なるレベル、もしくは上記のサービスレベルに該当するが、他の問題に対する++APARが適用されているお客様は、IBM Support Centerにお問い合わせください。その際には、お客様システムのサービスレベルと、++APAR(jar fix含む)の適用情報をご提供ください。

i5/OS用 WebSphere Application Serverの場合: 

IBM Developer Kit for Java は、IBM i のソフトウェア/PTFとして配布されています。
IBM i, WebSphere Application Serverのバージョンに応じたPTFを適用してください。

V7.0 ~ V7.0.0.13:
Java 6.0 (Option 10, 11 もしくは 12) を使用します。
下記表を参照し、導入されているIBM i のバージョンに応じたPTFを導入ください。

V6.1 ~ V6.1.0.35:
Java 5.0 (Option 7, 8 もしくは 9) を使用します。
下記表を参照し、導入されているIBM i のバージョンに応じたPTFを導入ください。

V6.0.2 ~ V6.0.2.43:
Java 1.4 (Option 6) を使用します。
下記表を参照し、導入されているIBM i のバージョンに応じたPTFを導入ください。

Option 6 (Java Developer Kit 1.4)Option 7 (Java Developer Kit 5.0)Option 8 (J2SE 5.0 32 bit)Option 9 (J2SE 5.0 64 bit)Option 10 (Java Developer Kit 6.0)Option 11 (Java SE 6 32 bit)Option 12 (Java SE 6 64 bit)
V5R4SI42681SI42680SI42685N/ASI42683SI42688N/A
IBM i 6.1SI42677SI42682SI42686SI42687SI42678SI42689SI42690
SI42175
IBM i 7.1N/AN/ASI42686SI42687N/ASI42689SI42690
SI42175

今後、Java Group PTFもリフレッシュされ、以下のレベルとして上記PTFが含まれたグループPTFが提供される予定です。
IBM i 5.4IBM i 6.1IBM i 7.1
SF99291 Level 26SF99562 Level 15SF99572 Level 5




Patch option - IBM Update Installer for Java

上記にリストされていないJDKで、かつ修正の公開をお待ち頂くことができない場合は、IBM Update Installer for Java を現在のSDKのバージョンに対する一時的なパッチとして使用することができます。

手順についてはIBM developerWorksのサイト「Critical security vulnerability alert - Security Alert for CVE-2010-4476」をご参照ください。

IBM Update Installer for Javaに関する重要な注記:
IBM Update Installer for Java を使用する前に、まずは上述の修正を適用することを最初にご検討ください。IBM Update Installer for Javaはこの重大なセキュリティ脆弱性を解決するための一時的な手段です。IBM Update Installer for Javaを使用した場合、今後どのようなJDKの更新を行った場合もこのパッチは除去されます。


【追加情報】

WebSphere Application Server製品の最新情報については下記をご参照ください。


分散系プラットフォーム: Recommended fixes for WebSphere Application Server.
i5/OS: WebSphere Application Server for i5/OS.
z/OS: WebSphere Application Server for z/OS


【お問合せ先】
技術的な内容に関して、サービス契約のあるお客様はIBMサービス・ラインにお問い合わせください。

IBMサービス・ライン開設のご案内
http://www.ibm.com/jp/news/20070420001.html

【変更履歴】
2011年3月16日 
  • SI42175をi5/OS用の表のOption 12に追加
2011年3月07日 
  • PM32192が二重に記載されていたものを修正
2011年2月28日 
  • タイトルと「症状」の一部を「特定の文字列」に表記変更
  • PM32194 (V6.0.2.41) へのリンクを追加
2011年2月24日 
  • 「症状」にparseDouble()以外のメソッドを追加
  • PTF/fix for IBM i の詳細情報を追加
2011年2月22日
  • 分散系でHP用の修正が公開されたことによる変更
2011年2月22日 
  • 「症状」に追加更新
2011年2月17日 
  • 脱字など修正
2011年2月16日 
  • 「概要、症状、解決方法」の修正・加筆並びに「Patch option」の項目追加
2011年2月14日 
  • 初版公開

[{"Product":{"code":"SSEQTP","label":"WebSphere Application Server"},"Business Unit":{"code":"BU004","label":"Hybrid Cloud"},"Component":"Java SDK","Platform":[{"code":"PF002","label":"AIX"},{"code":"PF010","label":"HP-UX"},{"code":"PF012","label":"IBM i"},{"code":"PF016","label":"Linux"},{"code":"PF027","label":"Solaris"},{"code":"PF033","label":"Windows"}],"Version":"7.0.0.9;7.0.0.7;7.0.0.5;7.0.0.3;7.0.0.13;7.0.0.11;7.0.0.1;7.0;6.1.1.9;6.1.1.8;6.1.1.7;6.1.1.6;6.1.1.5;6.1.1.4;6.1.1.3;6.1.1.2;6.1.1.10;6.1.1.1;6.1.1;6.1.0.9;6.1.0.7;6.1.0.5;6.1.0.35;6.1.0.33;6.1.0.31;6.1.0.3;6.1.0.29;6.1.0.27;6.1.0.25;6.1.0.23;6.1.0.21;6.1.0.2;6.1.0.19;6.1.0.17;6.1.0.15;6.1.0.14;6.1.0.13;6.1.0.11;6.1.0.1;6.1;6.0.2.9;6.0.2.8;6.0.2.7;6.0.2.6;6.0.2.5;6.0.2.43;6.0.2.41;6.0.2.4;6.0.2.39;6.0.2.37;6.0.2.35;6.0.2.33;6.0.2.31;6.0.2.3;6.0.2.29;6.0.2.27;6.0.2.25;6.0.2.23;6.0.2.21;6.0.2.2;6.0.2.19;6.0.2.17;6.0.2.15;6.0.2.13;6.0.2.11;6.0.2.1;6.0.2;6.0.1.2;6.0.1.1;6.0.1;6.0.0.3;6.0.0.2;6.0","Edition":"Base;Developer;Express;Network Deployment"}]

Document Information

Modified date:
15 June 2018

UID

swg21468197