BT

InfoQ ホームページ ニュース OpenJDKのDockerイメージのJDKに脆弱性表記の誤りが判明

OpenJDKのDockerイメージのJDKに脆弱性表記の誤りが判明

ブックマーク

原文(投稿日:2019/06/17)へのリンク

今年5月、OpenJDKメーリングリストは、OpenJDKの公式Dockerイメージバージョン番号に誤りがあり、実際には存在しないセキュリティパッチがJREに含まれることが示されていることを特定した。この問題はその後、OpenJDKとDebianのコミュニティ間のコラボレーションによって解決されている

OpenJDKコミュニティはイメージの作成やビルドの実施は行っていないため、"公式"という指定はDockerなどが行ったものだ。誰がビルドを作成したのか、誰がそれを"公式"として、それが何を意味するのか、といったすべての議論は、そのイメージのGitHub issue 320に論じられている。このDockerイメージは、すでに1000万回以上ダウンロードされている。

問題の中核は、ビルドの開発レベル、チェック時間、使用時間などの問題に関連する。このビルドは2019年3月27日に作成され、バージョン番号(8u212および11.0.3)が付けられており、セキュリティパッチは2019年4月16日までリリースされていなかった。"このように'合理的な'(一部の人々によれば)選択が積み重なった最終的な結果、数百万の人々が現在Docker上で実行しているデフォルトのOpenJDKが、不完全な'謎肉(mystery meat)'を使用しているにも関わらず、(一般人に対して)実在の8u212あるいは11.0.3を示すJavaバージョンとして報告されているのです"と、OpenJDKのメーリングリスト上で最初にこの問題を報告した、AzulのCTOであるGil Tene氏は説明している。"謎肉"ということばは、起源の不明確なラベルの付いたアイテムを表すもので、内容が不明で、安全性に懸念があることを暗示するものだ。

InfoQは、jClarityのCEOで、ロンドンJUGのリーダのひとりであるMartijn Verburg氏と、この問題について議論した。この混乱の元になっているのは、バージョン管理システムに最近導入された、サフィックス"-ga"を付加するタグである。このマーカは、Debianのボランティアメンテナなどのサードパーティに対して、ビルドを一般に公開する時期を示すためのもので、さまざまなJVMベンダが使用する"差し止め期間(embargo period)"の後に適用されることで、セキュリティアップデートがすべてのディストリビューションに対して、安全かつ均等に配布されることを確実にする。この調整期間がなければ、ハッカーがセキュリティパッチを分解することでエクスプロイトの場所を特定して、パッチが未適用なバージョンに対するエクスプロイトキットを開発する可能性がある。51,000以上のLinuxパッケージを提供するプロジェクトであるDebianが、すべてのプロジェクトに関与して、複雑なバージョン管理を理解させるというのは非現実的だ。その中にはOpenJDKも含まれており、"-ga"マーカは新たに設定されたものであったため、JDK 7および8以前のバージョンでは、リリース間の数字がスキップされていた。

今回のDockerイメージのバージョン番号は、CVE-2019-2602およびCVE-2019-2684のパッチが含まれていることを示しているが、実際には含まれていなかった。Dockerイメージに含まれているはずのリリース期間には、少なくとも6つのセキュリティパッチが公開されている。バージョンのミスマッチは、バージョンに基づいてソフトウェアのパッチを分析するソフトウェア構成分析ツールにおいて、ダウンストリームに混乱を引き起こす可能性がある。この種のツールは、CVEが既に用意されている古いソフトウェアのある場所を特定し、適切なパッチを当てることで、リスクを軽減する上で有効なものだ。これらツールの大多数はバージョン番号を認識しているため、これらのJREは脆弱ではないと誤って判断することになる。ただし、多くのJavaベンダがセキュリティパッチを四半期ごとにリリースしているので、危険にさらされる期間は長くはないはずだ。例えば、Oracleの次回の重要なパッチ更新は、2019年7月16日に実施されるが、その時点で安全なベースラインが新たに使用されることになるため、現在のJavaバージョン番号は安全でないと判断される。

問題を修正し、再発を防止するための修復作業は、Apache Software FoundationのEmanuel Bourg氏によって完了している。

この記事に星をつける

おすすめ度
スタイル

こんにちは

コメントするには InfoQアカウントの登録 または が必要です。InfoQ に登録するとさまざまなことができます。

アカウント登録をしてInfoQをお楽しみください。

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

コミュニティコメント

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

BT

あなたのプロファイルは最新ですか?プロフィールを確認してアップデートしてください。

Eメールを変更すると確認のメールが配信されます。

会社名:
役職:
組織規模:
国:
都道府県:
新しいメールアドレスに確認用のメールを送信します。このポップアップ画面は自動的に閉じられます。