Security Bulletin
Summary
[Japanese] Java におけるサービス不能化の脆弱性が Java Runtime Environment (JRE) および Java Development Kit (JDK) のハングを引き起こす可能性があります。この情報は、IBM Java が使用されているすべての Rational 製品に該当します。
Vulnerability Details
これは、セキュリティー問題 CVE-2010-4476 に関する情報です。
この脆弱性により Java Runtime Environment のハング、無限ループ、またはクラッシュが発生し、その結果、サービスの不能化が発生する可能性があります。この問題は、数値が指数表記(小数点以下 324 桁)で書かれていない場合でも起こりえます。またアプリケーション・サーバーがこの攻撃にさらされることに加えて、お客様のアプリケーション、もしくはサード・パーティー製のアプリケーションなどで、Double.parseDouble メソッドを用いたどのような Java プログラムにも同様の危険性があります。
(Java Runtime Environment は、"2.2250738585072012e-308" をバイナリーの浮動小数点に変換する際にハングします)。
この問題は、IBM がサポートしているプラットフォームすべての Java のバージョンに該当します。
もし WebSphere® Application Server (例: IBM Rational ClearCase や IBM Rational Application Developer などで使用されている IBM Rational Change Management (CM) Server) を含む IBM Rational 製品をご利用の場合は、WebSphere® がリリースしている、本脆弱性に関する情報に従います: 技術情報 1468197
以下の情報は WebSphere Application Server のアップグレード、および最新の Fix が必要な場合の参考情報です:
- 技術情報 1456040: Rational ClearCase および Rational ClearQuest 7.1 同梱の IBM WebSphere Application Server のアップグレード方法
他のアプリケーション・サーバーでは、既にこの問題が回避されている可能性があります。例えば、以前の Rational 製品で使用されていた Apache TomCat は、TomCat 独自のフィックス をリリースしています。
他の IBM 以外の Java もしくはアプリケーション・サーバーに関しては、ベンダーに直接問い合わせてください。
状況の改善策
多くの IBM Rational 製品は Java テクノロジーを使用しているため、単一あるいは複数のバージョンの Java が製品に同梱され、システムにインストールされている可能性があります。
IBM は アップデートツール (IBM Update Installer) を提供しています。このツールは、システム上に存在する IBM Java インスタンスをリストし、必要に応じてパッチの適用をする際に利用できます。パッチの適用前には、 Java の主要リリース (例: 1.4.x、1.5、1.6) 、およびシステムのプラットフォームに応じた正しいパッチ・ファイルをダウンロードする必要があります。これらのパッチについては、CVE-2010-4476 のページのPatch availability の項を参照します。
IBM は テストケース ツール も提供しています。これを使用すると、IBM が提供した Java が、この問題による影響を受けているかどうか、およびパッチが既にインストールされているかどうかの確認ができます。
テストケースの実行ファイルは JAR 形式で、以下のコマンドで実行できます:
java -jar ParseDoubleTest.jar
脆弱性が改修されていない場合、以下のようにテストは失敗します:
> java -jar ParseDoubleTest.jar
Test failed
脆弱性が改修済みの場合、以下のようにテスト成功のメッセージが出力されます:
> java -jar ParseDoubleTest.jar
Test succeeded
例:
- アップデートツールを Java のインスタンスを発見するために使用する
>java -jar JavaUpdateInstaller.jar -discover all
ディスク上に存在するすべての IBM Java インスタンス をサーチします。
- パッチを Software Delivery Platform 製品に適用する
(例えば IBM Rational Functional Tester や IBM Rational Software Architect)
Fix を適用する前の Java バージョン:
C:\Progra~1\IBM\SDP\jdk\bin\java -version
java version "1.6.0"
Java(TM) SE Runtime Environment (build pwi3260sr8-20100409_01(SR8))
IBM J9 VM (build 2.4, JRE 1.6.0 IBM J9 2.4 Windows XP x86-32 jvmwi3260sr8-20100401_55940 (JIT enabled, AOT enabled)
J9VM - 20100401_055940
JIT - r9_20100401_15339
GC - 20100308_AA)
JCL - 20100408_01
Microsoft Windows でアップデートツールを実行:
C:\UpdateInstallerforJava>java -jar JavaUpdateInstaller.jar -install c:\IZ94423_FIX_1.jar C:\Progra~1\IBM\SDP\jdk
Installs the specified update to the SDK if applicable.
-------------------------------------------------------------------------
Installing the update IZ94423_FIX_1 to the SDK: C:\Progra~1\IBM\SDP\jdk ...
IZ94423_FIX_1 has been successfully installed to SDK C:\Progra~1\IBM\SDP\jdk
Java -version で Java のバージョンを確認:
C:\Progra~1\IBM\SDP\jdk\bin\java -version
java version "1.6.0"
Java(TM) SE Runtime Environment (build pwi3260sr8-20100409_01(SR8) + IZ94423_FIX_1)
IBM J9 VM (build 2.4, JRE 1.6.0 IBM J9 2.4 Windows XP x86-32 jvmwi3260sr8-20100401_55940 (JIT enabled, AOT enabled)
J9VM - 20100401_055940
JIT - r9_20100401_15339
GC - 20100308_AA)
JCL - 20100408_01
- もし間違ったバージョンのパッチがインストールされようとしている場合、アップデートツールが警告を出力します:
C:\UpdateInstallerforJava>java -jar JavaUpdateInstaller.jar -install c:\IZ94423_FIX_1.jar C:\java
Installs the specified update to the SDK if applicable.
-------------------------------------------------------------------------
Update IZ94423_FIX_1 is not applicable to SDK - C:\java. Update IZ94423_FIX_1
can be installed to JDK with version(s)
1) 1.6.0
- IBM Rational ClearCase/ClearQuest クライントコンポーネント (ClearCase Remote Client, ClearQuest Client and ClearQuest Designer)で使用されている Java のアップデート例:
更新 : 最新の対処方法についての詳細は、技術資料 1509635 Applying IZ94423 to address CVE-2010-4476 in ClearCase and ClearQuest を参照してください。
C:\Program Files (x86)\IBM\RationalSDLC\common\JAVA5.0\jre\bin>java -version
java version "1.5.0"
Java(TM) 2 Runtime Environment, Standard Edition (build pwi32devifx-20100511b (SR11 FP2 ))
IBM J9 VM (build 2.3, J2RE 1.5.0 IBM J9 2.3 Windows Server 2003 x86-32 j9vmwi3223ifx-20100511 (JIT enabled)
J9VM - 20100509_57823_lHdSMr
JIT - 20091016_1845ifx7_r8
GC - 20091026_AA)
JCL - 20100511a
C:\Program Files (x86)\IBM\RationalSDLC\common\JAVA5.0\jre\bin>java -jar <path>\ParseDoubleTest.jar
Test failed
C:\Program Files (x86)\IBM\RationalSDLC\common\JAVA5.0\jre\bin>java -jar <path>\JavaUpdateInstaller.jar -install <path>\IZ94331_FIX_1.jar "C:\Program Files (x86)\IBM\RationalSDLC\Common\JAVA5.0"
Installs the specified update to the SDK if applicable.
-------------------------------------------------------------------------
Installing the update IZ94331_FIX_1 to the SDK: C:\Program Files
(x86)\IBM\RationalSDLC\Common\JAVA5.0 ...
IZ94331_FIX_1 has been successfully installed to SDK C:\Program Files
(x86)\IBM\RationalSDLC\Common\JAVA5.0
-------------------------------------------------------------------------
C:\Program Files (x86)\IBM\RationalSDLC\common\JAVA5.0\jre\bin>.\java -version
java version "1.5.0"
Java(TM) 2 Runtime Environment, Standard Edition (build pwi32devifx-20100511b (SR11 FP2 ))
IBM J9 VM (build 2.3, J2RE 1.5.0 IBM J9 2.3 Windows Server 2003 x86-32 j9vmwi3223ifx-20100511 (JIT enabled)
J9VM - 20100509_57823_lHdSMr
JIT - 20091016_1845ifx7_r8
GC - 20091026_AA)
JCL - 20100511a
Java のバージョンは変更されませんが、パッチは適用されています。ParseDoubleTree を使用して Java インスタンスの脆弱性をテストできます:
C:\Program Files (x86)\IBM\RationalSDLC\common\JAVA5.0\jre\bin>java -jar <path>\ParseDoubleTest.jar
Test succeeded
何かご不明な点があれば、IBM Rational クライアント・サポートまでお問い合わせください。
現状
IBM Rational は本問題につき高優先度 で調査しており、Rational 製品に同梱する Java に対してフィックス が提供できるよう対応中 です。
新しい情報は、随時、本技術文書上に更新されます。
| 更新履歴 | |
| 2011年8月23日 | ClearCase および ClearQuest 製品の修正対応に関して更新 |
Get Notified about Future Security Bulletins
References
*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.
Disclaimer
Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.
Internal Use Only
======================================================
English Technote 1468287: Denial of Service Security Exposure with Java causes JRE/JDK hang (CVE-2010-4476) 
IMPORTANT: This technote should not be modified unless the English version has been updated first. Click the doc link above and submit an update to the English technote.
======================================================
注意: 一部のRational 製品は、FixPack で修正が完了されたものもあります。他のRational 製品で情報更新が必要な場合、上記英文TNへSuggestionを送ってください。
例 CQ/CC 7.1.2.2 (FP 2) は、JRE バージョン更新し、このFixが実装されています。STEP 4 更新: の行に追加しました。(ER RATLC01336966)。
Product Synonym
Rational Team Concert;Rational Method Composer
Was this topic helpful?
Document Information
Modified date:
10 September 2020
UID
swg21468902