2005年07月11日
■ 宮城県がセキュリティアップデートの中止を推奨中
- SunがJREなどの脆弱性を公表、セキュリティ制限回避の恐れも, ITmedia速報, 2005年6月15日
この脆弱性が影響するのはJava 2 Platform Standard Edition(J2SE) 5.0/同Update 1とJ2SE 1.4.2_07以前。
という記事が出ているし、3月の時点でもJPCERT/CCから次の注意喚起が出ていた。
- JPCERT/CC REPORT 2005-03-30, JPCERT/CC, 2005年3月30日
これは JPCERT/CC が 3/20(日) から 3/26(土) の間に得たセキュリティ関連 情報のうち、重要と思われるものを抜粋してまとめたレポートです。
(略)
[4] Java Web Start の脆弱性
(略)
Java Web Start には、本来許可されていない動作をアプリケーションに許し てしまう脆弱性があります。結果として、遠隔から第三者がアプリケーション を経由して、そのアプリケーションを実行しているユーザの権限を取得する可 能性があります。対象となるのは以下のバージョンの J2SE に含まれる Java Web Start です。
- 1.4.2_06 およびそれ以前の 1.4.2 リリース Windows 版、Solaris 版、Linux 版
この脆弱性は、発見者が報告していたように、容易に悪用されかねない極めて危険性の高いものであった。Java Web Startの起動は、J2SE(JRE)をインストールしただけで有効になるので、「Java Web Start」という言葉を耳にしたことのない J2SE(JRE)ユーザにも影響する。
そういう状況があるにもかかわらず、宮城県企画部情報政策課は「よくある質問とお問合せ」のコーナーで、図1のように言っている。
■ 宮城県と熊本県の電子申請ユーザが誤って実在する第三者プロキシを設定するおそれ
の両ページに書かれているとおり、宮城県や熊本県が配布している専用プログラムのインストーラを起動すると、図2の画面が現れる。
図2: 宮城県と熊本県が配布しているインストーラの画面
「プロキシサーバ」などと言われても何のことだかわからない人たちが使うであろう、電子申請システムにおいて、このように「記入例: proxy.server.co.jp」と書かれていれば、そのまま記入例どおりに、「proxy.server.co.jp」と入力してしまう人はけっこういるのではないだろうか。
そして、その記入例に書かれている proxy.server.co.jp:8080 というサーバは実在し、稼動しているようだ。宮城県と熊本県の配布物は、OCSPか何かのアクセスのときにこのプロキシ設定を使うようだ。
本日のTrackBacks(全2件)
[TrackBack URL: http://takagi-hiromitsu.jp/diary/tb.rb/20050711]
ちょっと前の記事だが 宮城県と熊本県の電子申請ユーザが誤って実在する第三者プロキシを設定するおそれ...
- http://neta.ywcafe.net/2005/08/ ×18 (2008-05-20)
- ココログ [kjunichi cocolog] ×4 (2008-04-09)
- pmakino.jp tdiary ×28 : 15, 7, 2, 1, 1, 1, 1 (2007-05-28)
- http://hsj.jp/junknews/2005/07/ ×4 (2006-09-23)
- http://portal.intra2.pref.miyagi.jp/cgi-ht/hltforum? PRC:030... ×10 (2006-09-12)
- ココログ [stressfulangel cocolog] ×41 : 22, 7, 6, 3, 3 (2006-07-10)
- http://portal.intra2.pref.miyagi.jp/cgi-ht/hltforum? PRC:030... ×8 (2006-06-20)
- http://portal.intra2.pref.miyagi.jp/cgi-ht/hltforum? PRC:030... ×5 (2006-04-04)
- はてなブックマークコメント ×5 : 4, 1 (2006-04-03)
- http://portal.intra2.pref.miyagi.jp/cgi-ht/hltforum? PRC:030... ×6 (2006-04-03)
- http://portal.intra2.pref.miyagi.jp/cgi-ht/hltforum? PRC:030... ×4 (2005-11-30)
- http://portal.intra2.pref.miyagi.jp/cgi-ht/hltforum? PRC:030... ×5 (2005-10-25)
- http://portal.intra2.pref.miyagi.jp/cgi-ht/hltforum? PRC:030... ×5 (2005-10-14)
- http://portal.intra2.pref.miyagi.jp/cgi-ht/hltforum? PRC:030... ×10 (2005-09-30)
- http://portal.intra2.pref.miyagi.jp/cgi-ht/hltforum? PRC:030... ×11 (2005-09-20)
- http://neta.ywcafe.net/2005_08.html ×37 (2005-09-09)
- http://portal.intra2.pref.miyagi.jp/cgi-ht/hltforum? PRC:030... ×4 (2005-08-26)
- http://portal.intra2.pref.miyagi.jp/cgi-ht/hltforum? PRC:030... ×5 (2005-08-26)
- http://portal.intra2.pref.miyagi.jp/cgi-ht/hltforum? PRC:030... ×5 (2005-08-24)
- http://neta.ywcafe.net/000501.html ×1013 (2005-08-23)
- http://neta.ywcafe.net/ ×110 (2005-08-23)
- http://portal.intra2.pref.miyagi.jp/cgi-ht/hltforum? PRC:030... ×12 (2005-08-16)
- http://portal.intra2.pref.miyagi.jp/cgi-ht/hltforum? PRC:030... ×7 (2005-08-10)
- http://portal.intra2.pref.miyagi.jp/cgi-ht/hltforum? PRC:030... ×14 (2005-08-09)
- http://portal.intra2.pref.miyagi.jp/cgi-ht/hltforum? PRC:030... ×6 (2005-08-08)
- http://portal.intra2.pref.miyagi.jp/cgi-ht/hltforum? PRC:030... ×9 (2005-08-02)
- http://portal.intra2.pref.miyagi.jp/cgi-ht/hltforum? PRC:030... ×4 (2005-08-02)
- RinRin王国 ×253 : 234, 13, 5, 1 (2005-07-20)
- http://kuro963.asablo.jp/blog/ ×9 (2005-07-14)
- http://hpcgi3.nifty.com/mmix/wiki.cgi?log200507 ×4 (2005-07-14)
- http://itnavi.net/ ×4 (2005-07-14)
- http://mail.intra.pref.kumamoto.jp/mail/message.ja?service=m... ×18 (2005-07-14)
- http://portal.intra2.pref.miyagi.jp/cgi-ht/hltforum? PRC:030... ×38 (2005-07-14)
- http://portal.intra2.pref.miyagi.jp/cgi-ht/hltforum? PRC:030... ×185 (2005-07-13)
- http://atom1.intra.city.kumamoto.kumamoto.jp/uran/meeting.ph... ×5 (2005-07-13)
- http://www7.ocn.ne.jp/~next-s/news.html ×5 (2005-07-13)
- http://hsj.jp/ ×5 (2005-07-12)
- http://portal.intra2.pref.miyagi.jp/cgi-ht/hltforum? PRC:030... ×12 (2005-07-12)
- セキュリティホールmemo ×3651 : 3352, 234, 59, 5, 1 (2005-07-12)
- http://reima.sub.jp/sb/ ×25 (2005-07-12)
- http://portal.intra2.pref.miyagi.jp/cgi-ht/hltforum? PRC:030... ×39 (2005-07-12)
- http://portal.intra2.pref.miyagi.jp/cgi-ht/hltforum? PRC:030... ×365 (2005-07-12)
- http://133.83.35.54/~kjm/security/memo/ ×7 (2005-07-12)
検索
- java web start ×15 / 宮城県 電子申請 ×15 / ウィルスバスター2006 プロキシ設定 ×14 / Java Web Start ×14 / 電子申請 セキュリティ ×13 / 宮城県電子申請 ×11 / 熊本県 電子申請 ×11 / 宮城県 ×10 / http://portal.intra2.pref.miyagi.jp/ ×9 / プロキシ ×8 / proxy.server.co.jp ×7 / キーワード不明 ×5 / 自宅 プロキシ ×4 / 高木 浩光 java アップデート ×4 / 宮城県 電子申請システム ×4 / Java Web Start セキュリティ ×4 / java アップデート ×4 / java セキュリティアップデート ×4 / 熊本 電子申請 ×4 / プロキシサーバ やめる方法 ×3 / java 1.4.2 セキュリティ ×3 / 電子申請 中止 ×3 / 1.4.2_06 JRE ダウンロード 高木 ×3 / 自宅 proxy ×3 / IBM Java Web Start ×3 / jpcert jre 脆弱 ×3 / J2SE アップデート ×3 / java web start プロキシ ×3 / セキュリティ 宮城県 ×2 / j2sdk 1.4 セキュリティ ×2 / JRE ×2 / アップデートの中止 ×2 / ウィルスバスター2006 プロキシ ×2 / ocsp プロキシ ×2 / "Java Web Start" ×2 / "java web start" 証明書 ×2 / ウイルスバスター 2006プロキシ設定 ×2 / プロキシ 自宅 ×2 / 高木 宮城県 セキュリティ ×2 / "Java Web Start" セキュリティ ×2 / セキュリティ Java 脆弱性 ×2 / 高木 宮城県 ×2 / "java web start" ×2 / 宮城県 セキュリティ ×2 / セキュリティ プロキシ ×2 / jre -hiromitsu.jp ×2 / java アップデート セキュリティ ×2 / 宮城県 高木 ×2 / 宮城県 電子申請 脆弱性 ×2 / 電子申請 宮城県 熊本県 脆弱性 ×2 / 高木浩光 熊本 ×2 / プロキシ設定 ウィルスバスター2006 ×2 / 宮城県 ISP 規制情報 ×2 / 電子申請 高木 日記 ×2 / JRE -hiromitsu.jp ×2 / info@SERVER.co.jp ×2 / java アップデート プロキシ ×2 / jre 1.4.2_06 脆弱性 ×2 / JRE 1.4.2 セキュリティ ×2