2011年03月08日
最近公開されたJAVA脆弱性によるInformixへの影響
「CVE-2010-4476」という、JAVA脆弱性に関する報告
が先日公開されました。
UPDATE 2011-03-20: IBMソフトウェア製品への影響などについては、INFORMIXやDB2も含めすべて、こちらのURLから参照できます。
この報告は、JREに含まれる、文字列形式の数値表現から数値への変換を行うDouble.parseDouble() が、ある特定の文字列を与えた場合にハングアップする、というものです。InformixやDB2では、JAVA UDR/UDFを実行するために、JREがInformixとともにインストールされています。このため、JAVAで記述されたUDR, UDF (ユーザー定義ルーチン、またはユーザー定義関数)を使用していて、その中で文字列形式の数値表現を数値に変換させる処理をしている場合に影響を受ける可能性があります。
Informixへの影響や対処方法について、下記のとおり英語と日本語で情報が公開されています。詳しくはこちらをご覧ください。冒頭で紹介したURLから、以下でご紹介している日本語のページを参照することもできます。
https://www.ibm.com/support/docview.wss?uid=swg21469981
日本語での対応情報
が先日公開されました。
UPDATE 2011-03-20: IBMソフトウェア製品への影響などについては、INFORMIXやDB2も含めすべて、こちらのURLから参照できます。
この報告は、JREに含まれる、文字列形式の数値表現から数値への変換を行うDouble.parseDouble() が、ある特定の文字列を与えた場合にハングアップする、というものです。InformixやDB2では、JAVA UDR/UDFを実行するために、JREがInformixとともにインストールされています。このため、JAVAで記述されたUDR, UDF (ユーザー定義ルーチン、またはユーザー定義関数)を使用していて、その中で文字列形式の数値表現を数値に変換させる処理をしている場合に影響を受ける可能性があります。
Informixへの影響や対処方法について、下記のとおり英語と日本語で情報が公開されています。詳しくはこちらをご覧ください。冒頭で紹介したURLから、以下でご紹介している日本語のページを参照することもできます。
https://www.ibm.com/support/docview.wss?uid=swg21469981
Impact to Informix of IBM Runtimes for Java Technology class file parser Denial of Service ibm-rjt-classfile-dos when converting "2.2250738585072012e-308" (CVE-2010-4476 )
日本語での対応情報
Posted by oninit at 02:30│Comments(0)
│IBM Webサイトにある情報
※このブログではブログの持ち主が承認した後、コメントが反映される設定です。
画像一覧 
