セキュリティアラート 62500:Solaris 32 ビット用のマシンエージェントのダウンロードにおける脆弱性

このドキュメントでは、AppDynamics 製品のセキュリティアラートについて説明します。

概要

Solaris 32 ビット用のマシンエージェントダウンロードにバンドルされている JRE バージョン(1.7.0_79)にセキュリティの脆弱性があります。この脆弱性に関連する Oracle アドバイザリは、「Oracle Critical Patch Update Advisory - January 2016」に記載されています。Oracle は、JRE を 1.7.0_95 に更新することを推奨しています。

Oracle は、このバージョンの JRE/SE の公開更新を停止したため、お客様は登録済みの Oracle サポートアカウントからパッチを適用したバージョンをダウンロードする必要があります。

Oracle ライセンスの制限により、AppDynamics はパッチを再配布できません(「Java 7 SE - End of Public Updates」を参照してください)。AppDynamics では、JRE を含む Solaris 32 ビット用のマシンエージェントのバンドルダウンロードを出荷しなくなります。

お客様は、JRE なしでマシンエージェントダウンロードを使用し、パッチが適用されたバージョンの JRE を Oracle サポートサイトからダウンロードする必要があります。

影響を受けるソフトウェア

製品:、 コンポーネント Version エクスプロイトの可能性 重大度
マシンエージェント

AppDynamics スタンドアロン マシン エージェント
  • 4.1.x
  • 4.2.x
 脆弱性を解決するための既知の修正 高(High)

評価と脆弱性のキーまたは凡例

エクスプロイトの可能性の評価

エクスプロイトの可能性説明
脆弱性を解決するための既知の修正AppDynamics は既知のエクスプロイトを認識しています。既知のエクスプロイトを最も高い優先順位で処理する必要があります。
高(High)AppDynamics は、脆弱性が攻撃者によって悪用される可能性が高いと考えています。
中(Medium)AppDynamics は、脆弱性が攻撃者によって悪用される可能性が中程度であると考えています。
AppDynamics は、脆弱性が攻撃者によって悪用される可能性は低いと考えています。

シビラティ(重大度)評価

重大度説明
高(High)エクスプロイトにより、攻撃者は通知、監査、認証などの緩和策を講じることなく、ユーザーデータの機密性、完全性、アカウンタビリティ、または可用性、あるいは処理リソースの完全性や可用性を侵害することができます。
中(Medium)エクスプロイトにより、攻撃者は、通知や認証メカニズムなどの合理的な緩和策を使用して、ユーザーデータの機密性、完全性、アカウンタビリティ、または可用性、あるいは処理リソースの完全性や可用性を侵害することができます。

エクスプロイトにより、攻撃者はユーザーデータの機密性、完全性、アカウンタビリティ、または可用性、あるいは処理リソースの完全性や可用性を侵害したりする可能性がありますが、通知や認証メカニズムなどの重要な緩和策が実施されているため、影響のシビラティ(重大度)は軽減されます。

緩和要因と回避策

Solaris 32 ビット用のマシンエージェントのバンドルされた ZIP バージョンの使用を停止します。Oracle サポートサイトからパッチを適用した最新の JRE(1.0.7_95)をダウンロードし、マシンエージェントのバンドルされていない ZIP バージョンを使用します。

免責事項

このセキュリティアドバイザリで提供される情報は、いかなる種類の保証もなく、「現状のまま」で提供されます。AppDynamics は、商品適格性および特定目的への適合性の保証を含め、明示的、黙示的、法定、またはその他のいかなる表明または保証も否認します。いかなる場合においても、AppDynamics、その関連会社、またはそのサプライヤは、相手方が当該損害の可能性を知らされていたとしても、直接的、間接的、付随的、結果的、事業利益の損失、または特別損害を含むいかなる損害についても責任を負わないものとします。一部の州では結果的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限はお客様に適用されない場合があります。

マニュアルの変更履歴

1.0 - 2016 年 2 月 17 日初回改訂