JRE(Java Runtime Environment)のセキュリティベースラインが1.8.0_65にあがっていますので、Java SE 8をお使いの方はアップデートされることを強く推奨します。
Oracle Critical Patch Update Advisory - October 2015JPCERT/CCからも情報が提供されています。
http://www.oracle.com/technetwork/topics/security/cpuoct2015-2367953.html
8u65 Update Release Notes
http://www.oracle.com/technetwork/java/javase/8u65-relnotes-2687063.html
2015年10月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起8u65では、以下のリンクにある通り、25件のセキュリティ脆弱性に対する修正が加えられています。このうち24件は認証なしでリモートから任意のコードを実行することができる恐れのある脆弱性です。
JPCERT-AT-2015-0038 (JPCERT/CC)
https://www.jpcert.or.jp/at/2015/at150038.html
Oracle Java SE Risk Matrixその他の修正は以下のリンクにある通りです。
http://www.oracle.com/technetwork/topics/security/cpuoct2015-2367953.html#AppendixJAVA
Bug Fixes (8u65)Java SE 6およびJava SE 7も同様にセキュリティベースラインがそれぞれ1.7.0_91と1.6.0_105に上がっていますが、Oracle JDKのJava SE 6、Java SE 7のアップデート無償提供はすでに終了しており、現在はサポート契約を締結されているお客様に対してのみ提供しています。
http://www.oracle.com/technetwork/java/javase/2col/8u65-bugfixes-2686589.html
さて、8u65と8u66がリリースされたわけですが、それぞれの相違点は、種々のメディアからすでに情報が出ている通り、CPUとPSUの違いです。端的に言うと、以下のような感じです。
- 8u65:4半期毎のCritical Patch Update(CPU)
- 8u66:CPUに加え、複数の不具合を修正する累積パッチを含むPatch Set Update(PSU)
具体的には、以下のリンクをどうぞ。
Java CPU and PSU Releases Explained
http://www.oracle.com/technetwork/java/javase/downloads/cpu-psu-explained-2331472.html
Java SE Critical Patch Updates (CPU) contain fixes to security vulnerabilities and critical bug fixes. Oracle strongly recommends that all Java SE users upgrade to the latest CPU releases as they are made available. Java SE CPU releases are odd numbered versions (i.e. 7u71, 7u65 – see more on Java SE version numbering schemes here).そんなわけで、8u66には8u65のセキュリティ脆弱性に対する修正に加え、以下の修正が入っています。
Java SE Patch Set Updates (PSU) contain all of fixes in the corresponding CPU, as well as additional non-critical fixes. Java PSU releases should only be used if you are being impacted by one of the additional bugs fixed in that version. The release notes call out the additional fixes available in Java SE PSU releases.
Bug Fixes (8u66)8u66で修正された箇所が開発中、もしくはご利用中のアプリケーションに影響するのであれば、ひとまず8u65のインストールを検討してください。それとは逆に、8u66の修正によって開発中もしくはご利用中のアプリケーションの不具合が解決する、すなわち所望の動作をするのであれば、有無を言わずに8u66をインストールするしかないでしょう。「あまりそういう切り分けをしたくない」ということでしたら、8u66をインストールされることをおすすめします。
http://www.oracle.com/technetwork/java/javase/2col/8u66-bugfixes-2692105.html
0 件のコメント:
コメントを投稿