ブログ IP住所検索
CWE一覧に戻る
CWE-111

安全でないJNIの直接使用

Direct Use of Unsafe JNI
脆弱性 レビュー中
日本語説明
JA

JavaアプリケーションがJava Native Interface (JNI)を使って他のプログラミング言語で書かれたコードを呼び出すと、Javaでは起こりえない弱点であっても、そのコードの弱点にアプリケーションをさらす可能性がある。

プログラマーが当たり前のように使っている安全機能の多くは、ネイティブ・コードには適用されない。ネイティブ・コードを実装するために使用される言語は、バッファ・オーバーフ ローやその他の攻撃を受けやすい可能性があります。ネイティブ・コードは、強い型付けや配列の境界チェックなど、実行環境によって強制されるセキュリティー機能によって保護されていません。

原文 (English)
EN

When a Java application uses the Java Native Interface (JNI) to call code written in another programming language, it can expose the application to weaknesses in that code, even if those weaknesses cannot occur in Java.

Many safety features that programmers may take for granted do not apply for native code, so you must carefully review all such code for potential problems. The languages used to implement native code may be more susceptible to buffer overflows and other attacks. Native code is unprotected by the security features enforced by the runtime environment, such as strong typing and array bounds checking.

関連する脆弱性
CWE-695 低レベル機能の使用 CWE-20 不適切な入力検証
想定される影響
Scope: Access Control / Impact: Bypass Protection Mechanism
対策・緩和策
Implement error handling around the JNI call.
Do not use JNI calls if you don't trust the native library.
Be reluctant to use JNI calls. A Java API equivalent may exist.
外部リンク
MITRE公式ページ — CWE-111