ページの先頭です。
サイト内の現在位置を表示しています。
  1. ホーム
  2. ソフトウェア
  3. WebOTX
  4. パッチ/修正モジュール(重要なお知らせ)
  5. Java SE 6 u45 における変更およびWebOTXへの影響
ここから本文です。

Java SE 6u45 における変更およびWebOTXへの影響

1. 概要

2013/04/16にオラクル社よりリリースされたJava SE Development Kit 6, Update 45 [JDK 6u45]で行われた以下の仕様変更が、WebOTXの動作に影響を与えることが確認されました。なお、これに相当するHP-UX版のJDKバージョン は、2013/06にリリースされた6.0.19です。

文字列コマンドを実行するAPI(Windowsのみ)

指定された文字列コマンドを実行するAPIにおいて、その文字列を解析する方法をJava仕様にさらに厳密化する変更が行われました。

 

対象はWindowsプラットフォームで動作するjava.lang.Runtimeクラスの下記のメソッドです。

  • exec(String)
    指定された文字列コマンドを、独立したプロセスで実行します。
  • exec(String, String[])
    指定された文字列コマンドを、指定された環境を持つ独立したプロセスで実行します。
  • exec(String, String[], File)
    指定された文字列コマンドを、指定された環境と作業ディレクトリを持つ独立したプロセスで実行します。

変更内容は、コマンドの文字列に空白を含むか、エスケープされたダブル・クオート(\")を含む場合にコマンド起動が失敗する問題を引き起こす可能性があります。

 

セキュリティ (JAXP)

 

JAXP の処理に関する脆弱性(CVE-2013-1518)への対策として、JDKに含まれるXMLプロセッサ(JAXP)実装のパッケージに対して、アクセス制限が追加されました。 本変更により、WebOTX製品で行われるXML処理が、JDKに含まれるXMLプロセッサ(JAXP)実装のパッケージへのアクセス権不足で失敗することが確認されています。

 

詳細は以下のとおりです。

  • [JRE_HOME]/lib/security/java.security の package.access に、JDKに含まれるXMLプロセッサ(JAXP)実装のパッケージ (com.sun.org.apache.xerces.internal 等) が追加されました。
  • セキュリティマネージャが設定されている場合、[JRE_HOME]/lib/security/java.security の package.access に指定されたパッケージおよびそのサブパッケージにアクセスするコードには、accessClassInPackage.{パッケージ名} に対する java.lang.RuntimePermission を与える必要があります。権限が存在しない場合、該当するパッケージのクラスのロードに失敗します。

JDK 6u45(HP-UX版 v6.0.19)上でWebOTX製品を正常に動作させるためには、本問題の対処を行ったWebOTXのパッチモジュールの適用が必要です。WebOTXのパッチモジュールを適用するまでは、JDK 6u45(HP-UX版 v6.0.19) を適用しないでください。パッチモジュールは以下のページからダウンロードしてください。

WebOTX Application Server V8.42 パッチモジュール

ページの先頭へ戻る