openSUSE 安全性更新:java-1_6_0-openjdk (openSUSE-SU-2010:0957-1)

critical Nessus Plugin ID 53731

概要

遠端 openSUSE 主機缺少安全性更新。

說明

java-1_6_0-openjdk 中隨附的 Icedtea 已更新至版本 1.7.5/1.8.2/1.9.1,修正了多個安全性問題:

- S6914943、CVE-2009-3555:TLS:透過工作階段重新交涉的 MITM 攻擊

- S6559775、CVE-2010-3568:OpenJDK 還原序列化爭用情形

- S6891766、CVE-2010-3554:OpenJDK corba 反射弱點

- S6925710、CVE-2010-3562:OpenJDK IndexColorModel 重複釋放

- S6938813、CVE-2010-3557:OpenJDK Swing 易變靜態

- S6957564、CVE-2010-3548:OpenJDK DNS 伺服器 IP 位址資訊洩漏

- S6958060、CVE-2010-3564:OpenJDK kerberos 弱點

- S6963023、CVE-2010-3565:OpenJDK JPEG writeImage 遠端程式碼執行

- S6963489、CVE-2010-3566:OpenJDK ICC 設定檔遠端程式碼執行

- S6966692、CVE-2010-3569:OpenJDK 序列化不一致

- S6622002、CVE-2010-3553:UIDefault.ProxyLazyValue 具有不安全的反射使用方式

- S6925672、CVE-2010-3561:具權限的 ServerSocket.accept 允許接收來自任何主機的連線

- S6952017、CVE-2010-3549:HttpURLConnection 區塊編碼問題 (Http 要求分割)

- S6952603、CVE-2010-3551:NetworkInterface 向未受信任的程式碼洩漏本機網路位址

- S6961084、CVE-2010-3541:限制 HttpURLConnection 中部分要求標頭的設定

- S6963285、CVE-2010-3567:字元計數不相符所引起的 ICU Opentype 配置引擎損毀

- S6980004、CVE-2010-3573:限制 HttpURLConnection 中的 HTTP 要求 cookie 標頭

- S6981426、CVE-2010-3574:限制 HttpURLConnection 中 TRACE 方法的使用

解決方案

更新受影響的 java-1_6_0-openjdk 套件。

另請參閱

https://bugzilla.novell.com/show_bug.cgi?id=642531

https://lists.opensuse.org/opensuse-updates/2010-11/msg00024.html

Plugin 詳細資訊

嚴重性: Critical

ID: 53731

檔案名稱: suse_11_2_java-1_6_0-openjdk-101103.nasl

版本: 1.11

類型: local

代理程式: unix

已發布: 2011/5/5

已更新: 2021/1/14

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

風險資訊

VPR

風險因素: High

分數: 8.9

CVSS v2

風險因素: Critical

基本分數: 10

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

弱點資訊

CPE: p-cpe:/a:novell:opensuse:java-1_6_0-openjdk, p-cpe:/a:novell:opensuse:java-1_6_0-openjdk-demo, p-cpe:/a:novell:opensuse:java-1_6_0-openjdk-devel, p-cpe:/a:novell:opensuse:java-1_6_0-openjdk-javadoc, p-cpe:/a:novell:opensuse:java-1_6_0-openjdk-plugin, p-cpe:/a:novell:opensuse:java-1_6_0-openjdk-src, cpe:/o:novell:opensuse:11.2

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2010/11/3

弱點發布日期: 2009/11/9

參考資訊

CVE: CVE-2009-3555, CVE-2010-3541, CVE-2010-3548, CVE-2010-3549, CVE-2010-3551, CVE-2010-3553, CVE-2010-3554, CVE-2010-3557, CVE-2010-3561, CVE-2010-3562, CVE-2010-3564, CVE-2010-3565, CVE-2010-3566, CVE-2010-3567, CVE-2010-3568, CVE-2010-3569, CVE-2010-3573, CVE-2010-3574

CWE: 310