偵測

RHEL 6:eclipse (RHSA-2011:0568)

medium Nessus Plugin ID 54595

語系:

概要

遠端 Red Hat 主機缺少一個或多個安全性更新。

說明

現已提供適用於 Red Hat Enterprise Linux 6 的更新版 eclipse 套件,可修正一個安全性問題、數個錯誤,並新增多種增強功能。

Red Hat 安全性回應團隊已將此更新評等為具有低安全性影響。可從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數,其中包含有關嚴重性評等的詳細資訊。

Eclipse 軟體開發環境提供一組適用於 C/C++ 和 Java 開發的工具。

在 Eclipse 說明內容 Web 應用程式中發現跨網站指令碼 (XSS) 瑕疵。攻擊者可利用此瑕疵,誘騙受害者造訪特製的 Eclipse 說明 URL,進而對其發動跨網站指令碼攻擊。(CVE-2010-4647)

下列 Eclipse 套件已升級至官方上游 Eclipse Helios SR1 版中的版本,相較於先前的版本,此版本可提供數個錯誤修正與增強功能。

* eclipse 至 3.6.1。(BZ#656329) * eclipse-cdt 至 7.0.1。(BZ#656333) * eclipse-birt 至 2.6.0。(BZ#656391) * eclipse-emf 至 2.6.0。(BZ#656344)
* eclipse-gef 至 3.6.1。(BZ#656347) * eclipse-mylyn 至 3.4.2。
(BZ#656337) * eclipse-rse 至 3.2。(BZ#656338) * eclipse-dtp 至 1.8.1。
(BZ#656397) * eclipse-changelog 至 2.7.0。(BZ#669499) * eclipse-valgrind 至 0.6.1。(BZ#669460) * eclipse-callgraph 至 0.6.1。
(BZ#669462) * eclipse-oprofile 至 0.6.1。(BZ#670228) * eclipse-linuxprofilingframework 至 0.6.1。(BZ#669461)

此外,已對以上 Eclipse 套件的相依性進行下列更新:

* icu4j 至 4.2.1。(BZ#656342) * sat4j 至 2.2.0。(BZ#661842) * objectweb-asm 至 3.2。(BZ#664019) * jetty-eclipse 至 6.1.24。
(BZ#661845)

此更新包含數個上游錯誤修正與增強,例如:

* Eclipse IDE 和 Java 開發工具 (JDT):

- 專案與資料夾可篩除工作區中的資源。- 新虛擬資料夾與連結檔案支援。- 現在支援一組完整的 UNIX 檔案權限。- 新增停止按鈕以取消長時間執行的精靈工作。- Java 編輯器現在可透過問題暫留顯示多個快速修正。- 對於執行 JUnit 第 4 版測試的新支援。- 超過 200 個上游錯誤修正。

* Eclipse C/C++ 開發工具 (CDT):

- 已新增 Codan 架構以供進行靜態程式碼分析。- 重構改善,例如儲存的重構歷程記錄。- 編譯與建構錯誤現在會在建構主控台中醒目提示。- 切換至新的 DSF 除錯程式架構。- 新範本檢視支援。- 超過 600 個上游錯誤修正。

此更新也可修正下列錯誤:

* 已修正「說明內容」視窗中 GNU 工具不正確的 URI。(BZ#622713)

* 如果 Eclipse 專案不在 Eclipse 工作空間中,則二進位檔的分析無法運作。此更新為外部專案分析新增自動化測試,其更正了此問題。(BZ#622867)

* 在 Eclipse 中執行 C/C++ 應用程式已成功終止,但是在「錯誤記錄」視窗中傳回與應用程式本身不相關的 I/O 例外狀況。透過此更新,不會再傳回例外狀況。(BZ#668890)

* eclipse-mylyn 套件顯示一個「20100916-0100-e3x」限定詞。
限定詞已修改為「v20100902-0100-e3x」以符合 eclipse-mylyn 的上游版本。(BZ#669819)

* 安裝 eclipse-mylyn 套件失敗,並傳回一則「資源暫時無法使用」錯誤訊息,這是因為封裝中的一個錯誤所導致。
此更新修正了此錯誤,且安裝現在可如預期運作。
(BZ#673174)

* 構建 eclipse-cdt 套件可能會失敗,這是因為與本機檔案系統的互動不正確所導致。現在可防止與本機檔案系統互動,且建構不再失敗。
(BZ#678364)

* eclipse-cdt 套件所提供的 libhover 外掛程式使用二進位資料搜尋暫留主題。資料位置在外部指定為 URL,其可造成在沒有網際網路存取權的系統上發生例外狀況。此更新修改了外掛程式,以便能夠從本機位置引入所需資料。(BZ#679543)

eclipse 使用者應升級至這些更新版套件,其可更正這些問題並新增這些增強功能。

解決方案

更新受影響的套件。

另請參閱

https://access.redhat.com/security/cve/cve-2010-4647

https://access.redhat.com/errata/RHSA-2011:0568

Plugin 詳細資訊

嚴重性: Medium

ID: 54595

檔案名稱: redhat-RHSA-2011-0568.nasl

版本: 1.19

類型: local

代理程式: unix

已發布: 2011/5/20

已更新: 2021/1/14

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: Low

分數: 3.8

CVSS v2

風險因素: Medium

基本分數: 4.3

時間分數: 3.4

媒介: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

弱點資訊

CPE: p-cpe:/a:redhat:enterprise_linux:eclipse-birt, p-cpe:/a:redhat:enterprise_linux:eclipse-callgraph, p-cpe:/a:redhat:enterprise_linux:eclipse-cdt, p-cpe:/a:redhat:enterprise_linux:eclipse-cdt-parsers, p-cpe:/a:redhat:enterprise_linux:eclipse-cdt-sdk, p-cpe:/a:redhat:enterprise_linux:eclipse-changelog, p-cpe:/a:redhat:enterprise_linux:eclipse-debuginfo, p-cpe:/a:redhat:enterprise_linux:eclipse-dtp, p-cpe:/a:redhat:enterprise_linux:eclipse-emf, p-cpe:/a:redhat:enterprise_linux:eclipse-emf-examples, p-cpe:/a:redhat:enterprise_linux:eclipse-emf-sdk, p-cpe:/a:redhat:enterprise_linux:eclipse-emf-xsd, p-cpe:/a:redhat:enterprise_linux:eclipse-emf-xsd-sdk, p-cpe:/a:redhat:enterprise_linux:eclipse-gef, p-cpe:/a:redhat:enterprise_linux:eclipse-gef-examples, p-cpe:/a:redhat:enterprise_linux:eclipse-gef-sdk, p-cpe:/a:redhat:enterprise_linux:eclipse-jdt, p-cpe:/a:redhat:enterprise_linux:eclipse-linuxprofilingframework, p-cpe:/a:redhat:enterprise_linux:eclipse-mylyn, p-cpe:/a:redhat:enterprise_linux:eclipse-mylyn-cdt, p-cpe:/a:redhat:enterprise_linux:eclipse-mylyn-java, p-cpe:/a:redhat:enterprise_linux:eclipse-mylyn-pde, p-cpe:/a:redhat:enterprise_linux:eclipse-mylyn-trac, p-cpe:/a:redhat:enterprise_linux:eclipse-mylyn-webtasks, p-cpe:/a:redhat:enterprise_linux:eclipse-mylyn-wikitext, p-cpe:/a:redhat:enterprise_linux:eclipse-oprofile, p-cpe:/a:redhat:enterprise_linux:eclipse-oprofile-debuginfo, p-cpe:/a:redhat:enterprise_linux:eclipse-pde, p-cpe:/a:redhat:enterprise_linux:eclipse-platform, p-cpe:/a:redhat:enterprise_linux:eclipse-rcp, p-cpe:/a:redhat:enterprise_linux:eclipse-rse, p-cpe:/a:redhat:enterprise_linux:eclipse-swt, p-cpe:/a:redhat:enterprise_linux:eclipse-valgrind, p-cpe:/a:redhat:enterprise_linux:icu4j, p-cpe:/a:redhat:enterprise_linux:icu4j-eclipse, p-cpe:/a:redhat:enterprise_linux:icu4j-javadoc, p-cpe:/a:redhat:enterprise_linux:jetty-eclipse, p-cpe:/a:redhat:enterprise_linux:objectweb-asm, p-cpe:/a:redhat:enterprise_linux:objectweb-asm-javadoc, p-cpe:/a:redhat:enterprise_linux:sat4j, cpe:/o:redhat:enterprise_linux:6

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2011/5/19

弱點發布日期: 2011/1/13

參考資訊

CVE: CVE-2010-4647

BID: 44883

RHSA: 2011:0568