Oracle Java SE JDKおよびJREのRhinoスクリプトエンジンの脆弱性について

【質問】
http://security.intellilink.co.jp/article/vulner/111202.htmlなどで掲示されているJDKおよびJREのRhinoスクリプトエンジンの脆弱性(CVE-2011-3544)が存在するが、intra-martでは問題ないか?
【回答】
ご指摘の脆弱性は、クライアントなどのJavaアプレットという制限された実行環境で、セキュリティマネージャを迂回して任意の Java コードを実行できてしまう、というものです。
具体例で説明しますと、CVE-2011-3544 は
1. 攻撃者が自身のサイトに 何らかの行為を行う実行ファイル を起動するアプレットを作成する
2. ユーザ(被害者)を 1 のサイトに誘導し、Javaアプレットを実行させる
3. ユーザの PC 上で、何らかの行為を行う実行ファイル が(通常はセキュリティマネージャにより拒否されるのに対して)本脆弱性を利用して実行されてしまう
といった脆弱性であり、Rhino を使用する Java サーバ(intra-martのサーバ)で被害を受ける類いの脆弱性ではありません。
しかし、サーバ上で不審なサイトの閲覧を行った場合は、上記脆弱性で攻撃を受ける可能性がありますので、ご注意ください。


-- 対象 ------------------------------------------------------------------------
iWP/Webシステム構築基盤/WebPlatform/AppFramework
--------------------------------------------------------------------------------

FAQID:337
この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています
Powered by Zendesk