Debian DSA-2311-1 : openjdk-6 - 多個弱點

critical Nessus Plugin ID 56307

語系：

概要

遠端 Debian 主機缺少安全性更新。

說明

在 Java SE 平台的實作 OpenJDK 中發現數個弱點。Common Vulnerabilities and Exposures 專案發現下列問題：

- CVE-2011-0862 在 JPEG 及字型剖析器中的整數溢位錯誤會讓不受信任的程式碼 (包括 applet) 提升其權限。

- CVE-2011-0864 OpenJDK 中的 Just-In-Time 編譯器 Hotspot 對特定位元組程式碼指令處理不當，從而使不受信任的程式碼 (包括 applet) 造成虛擬機器當機。

- CVE-2011-0865 在已簽署物件還原序列化中的爭用情形可允許不受信任的程式碼修改已簽署內容，顯然會使簽章保持不變。

- CVE-2011-0867 不受信任的程式碼 (包括 applet) 可存取原定並不公開的網路介面相關資訊。(請注意，不受信任的程式碼仍然可使用介面 MAC 位址。)

- CVE-2011-0868 型別 float 轉換成 long 時可能會溢位，從而使不受信任的程式碼 (包括 applet) 造成虛擬機器當機。

- CVE-2011-0869 不受信任的程式碼 (包括 applet) 可重新指定 Proxy 設定，透過 SOAP 連線來攔截 HTTP 要求。

- CVE-2011-0871 不受信任的程式碼 (包括 applet) 可透過 Swing MediaTracker 程式碼提升其權限。

此外，由於穩定性問題，本更新會從 i386 和 amd64 中移除 Zero/Shark 及 Cacao Hotspot 變體的支援。
這些 Hotspot 變體包含在 openjdk-6-jre-zero 和 icedtea-6-jre-cacao 套件內，且這些套件必須在此更新中移除。