最近公開されたJAVA脆弱性によるInformixへの影響

「CVE-2010-4476」という、JAVA脆弱性に関する報告

が先日公開されました。

UPDATE 2011-03-20: IBMソフトウェア製品への影響などについては、INFORMIXやDB2も含めすべて、こちらのURLから参照できます。

この報告は、JREに含まれる、文字列形式の数値表現から数値への変換を行うDouble.parseDouble()　が、ある特定の文字列を与えた場合にハングアップする、というものです。InformixやDB2では、JAVA UDR/UDFを実行するために、JREがInformixとともにインストールされています。このため、JAVAで記述されたUDR, UDF (ユーザー定義ルーチン、またはユーザー定義関数）を使用していて、その中で文字列形式の数値表現を数値に変換させる処理をしている場合に影響を受ける可能性があります。

Informixへの影響や対処方法について、下記のとおり英語と日本語で情報が公開されています。詳しくはこちらをご覧ください。冒頭で紹介したURLから、以下でご紹介している日本語のページを参照することもできます。

https://www.ibm.com/support/docview.wss?uid=swg21469981

Impact to Informix of IBM Runtimes for Java Technology class file parser Denial of Service ibm-rjt-classfile-dos when converting "2.2250738585072012e-308" (CVE-2010-4476 )

日本語での対応情報