Fedora 19 : java-1.7.0-openjdk-1.7.0.19-2.3.9.6.fc19 (2013-6368)
critical Nessus Plugin ID 66224
語系:
概要
遠端 Fedora 主機遺漏安全性更新。說明
此更新修正了 - https://admin.fedoraproject.org/updates/FEDORA-2013-5861/java-1.7.0-openjdk-1.7.0.19-2.3.9.1.fc19因此除了下列預期的繼承前版修正之外,其中還包含了全新的協助工具套件:套件協助工具 摘要:OpenJDK 協助工具連接器 需要:java-atk-wrapper 需要:
java-1.7.0-openjdk-1.7.0.19-2.3.9.6.fc19
描述 使用 java-at-wrapper 啟用 OpenJDK 中的協助工具支援。其允許相容的 at-spi2 型協助工具程式在以 AWT 和 Swing 為基礎的程式中使用。請注意,java-atk-wrapper 仍是 beta 版,且 OpenJDK 本身也仍處於協助工具功能的使用微調階段。儘管使用上已經很順利,但啟用協助工具時仍會遇到一些已知問題,因此除非必要,否則建議不要安裝此套件。
另外,替代的 arch tarball 也已更新。
繼承的修正:
- 更新至更新版 IcedTea 2.3.9,內含其中一個安全性修正
- 修正字型字符位移 (arm...) 版本!
- 將用戶端新增至建立映像的 classes.jsa
- 更新至 IcedTea 2.3.9,其中含有最新的安全性修補程式
- 920245 CVE-2013-0401 OpenJDK:不明的沙箱繞過 (CanSecWest 2013、AWT)
- 920247 CVE-2013-1488 OpenJDK:不明的沙箱繞過 (CanSecWest 2013、Libraries)
- 952387 CVE-2013-1537 OpenJDK:遠端程式碼載入預設為已啟用 (RMI、8001040)
- 952389 CVE-2013-2415 OpenJDK:使用不安全的權限建立暫存檔 (JAX-WS、8003542)
- 952398 CVE-2013-2423 OpenJDK:MethodHandles 中不正確的 setter 存取檢查 (Hostspot、8009677)
- 952509 CVE-2013-2424 OpenJDK:MBeanInstantiator 類別存取檢查不充分 (JMX、8006435)
- 952521 CVE-2013-2429 OpenJDK:JPEGImageWriter 狀態損毀 (ImageIO、8007918)
- 952524 CVE-2013-2430 OpenJDK:JPEGImageReader 狀態損毀 (ImageIO、8007667)
- 952550 CVE-2013-2436 OpenJDK:Wrapper.convert 類型檢查不充分 (Libraries、8009049)
- 952638 CVE-2013-2420 OpenJDK:影像處理弱點 (2D、8007617)
- 952640 CVE-2013-1558 OpenJDK:
java.beans.ThreadGroupContext 缺少限制 (Beans、7200507)
- 952642 CVE-2013-2422 OpenJDK:MethodUtil trampoline 類別不正確的限制 (Libraries、8009857)
- 952645 CVE-2013-2431 OpenJDK:熱點內建框架弱點 (Hotspot、8004336)
- 952646 CVE-2013-1518 OpenJDK:JAXP 缺少安全性限制 (JAXP、6657673)
- 952648 CVE-2013-1557 OpenJDK:
LogStream.setDefaultStream() 缺少安全性限制 (RMI、8001329)
- 952649 CVE-2013-2421 OpenJDK:Hotspot MethodHandle 查閱錯誤 (Hotspot、8009699)
- 952653 CVE-2013-2426 OpenJDK:ConcurrentHashMap 不正確呼叫 defaultReadObject() 方法 (Libraries、8009063)
- 952656 CVE-2013-2419 OpenJDK:字型處理錯誤 (2D、8001031)
- 952657 CVE-2013-2417 OpenJDK:網路 InetAddress 序列化資訊洩漏 (Networking、8000724)
- 952708 CVE-2013-2383 OpenJDK:字型配置和字符表格錯誤 (2D、8004986)
- 952709 CVE-2013-2384 OpenJDK:字型配置和字符表格錯誤 (2D、8004987)
- 952711 CVE-2013-1569 OpenJDK:字型配置和字符表格錯誤 (2D、8004994)
- buildver 同步至 b19
- 重寫 java-1.7.0-openjdk-java-access-bridge-security.patch
- 修正優先順序 (刪除一個零)
- 取消套用 patch2
- 新增 patch107 abrt_friendly_hs_log_jdk7.patch
- 移除 patch2 java-1.7.0-openjdk-java-access-bridge-idlj.patch
- 移除 classes.jsa 多餘的 rm,幽靈程式現可予以正確處理 修正次要 Arch 上的 FTBFS
- 更新至更新版 IcedTea 2.3.9,內含其中一個安全性修正
- 修正字型字符位移警告 - 此 build 還未更新非熱點的 (arm...)build!
- 將用戶端新增至建立映像的 classes.jsa
- 更新至 IcedTea 2.3.9,其中含有最新的安全性修補程式
- 920245 CVE-2013-0401 OpenJDK:不明的沙箱繞過 (CanSecWest 2013、AWT)
- 920247 CVE-2013-1488 OpenJDK:不明的沙箱繞過 (CanSecWest 2013、Libraries)
- 952387 CVE-2013-1537 OpenJDK:遠端程式碼載入預設為已啟用 (RMI、8001040)
- 952389 CVE-2013-2415 OpenJDK:使用不安全的權限建立暫存檔 (JAX-WS、8003542)
- 952398 CVE-2013-2423 OpenJDK:MethodHandles 中不正確的 setter 存取檢查 (Hostspot、8009677)
- 952509 CVE-2013-2424 OpenJDK:MBeanInstantiator 類別存取檢查不充分 (JMX、8006435)
- 952521 CVE-2013-2429 OpenJDK:JPEGImageWriter 狀態損毀 (ImageIO、8007918)
- 952524 CVE-2013-2430 OpenJDK:JPEGImageReader 狀態損毀 (ImageIO、8007667)
- 952550 CVE-2013-2436 OpenJDK:Wrapper.convert 類型檢查不充分 (Libraries、8009049)
- 952638 CVE-2013-2420 OpenJDK:影像處理弱點 (2D、8007617)
- 952640 CVE-2013-1558 OpenJDK:
java.beans.ThreadGroupContext 缺少限制 (Beans、7200507)
- 952642 CVE-2013-2422 OpenJDK:MethodUtil trampoline 類別不正確的限制 (Libraries、8009857)
- 952645 CVE-2013-2431 OpenJDK:熱點內建框架弱點 (Hotspot、8004336)
- 952646 CVE-2013-1518 OpenJDK:JAXP 缺少安全性限制 (JAXP、6657673)
- 952648 CVE-2013-1557 OpenJDK:
LogStream.setDefaultStream() 缺少安全性限制 (RMI、8001329)
- 952649 CVE-2013-2421 OpenJDK:Hotspot MethodHandle 查閱錯誤 (Hotspot、8009699)
- 952653 CVE-2013-2426 OpenJDK:ConcurrentHashMap 不正確呼叫 defaultReadObject() 方法 (Libraries、8009063)
- 952656 CVE-2013-2419 OpenJDK:字型處理錯誤 (2D、8001031)
- 952657 CVE-2013-2417 OpenJDK:網路 InetAddress 序列化資訊洩漏 (Networking、8000724)
- 952708 CVE-2013-2383 OpenJDK:字型配置和字符表格錯誤 (2D、8004986)
- 952709 CVE-2013-2384 OpenJDK:字型配置和字符表格錯誤 (2D、8004987)
- 952711 CVE-2013-1569 OpenJDK:字型配置和字符表格錯誤 (2D、8004994)
- buildver 同步至 b19
- 重寫 java-1.7.0-openjdk-java-access-bridge-security.patch
- 修正優先順序 (刪除一個零)
- 取消套用 patch2
- 新增 patch107 abrt_friendly_hs_log_jdk7.patch
- 移除 patch2 java-1.7.0-openjdk-java-access-bridge-idlj.patch
- 移除 classes.jsa 多餘的 rm,幽靈程式現可予以正確處理
請注意,Tenable Network Security 已直接從 Fedora 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下,嘗試自動清理並將其格式化。
解決方案
更新受影響的 java-1.7.0-openjdk 套件。另請參閱
Plugin 詳細資訊
嚴重性: Critical
ID: 66224
檔案名稱: fedora_2013-6368.nasl
版本: 1.13
類型: local
代理程式: unix
已發布: 2013/4/26
已更新: 2021/1/11
支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
風險資訊
CVSS v2
風險因素: Critical
基本分數: 10
時間分數: 7.8
媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
弱點資訊
CPE: p-cpe:/a:fedoraproject:fedora:java-1.7.0-openjdk, cpe:/o:fedoraproject:fedora:19
必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2013/4/23
弱點發布日期: 2013/4/23
可惡意利用
Metasploit (Java Applet Reflection Type Confusion Remote Code Execution)
參考資訊
BID: 58504, 58507, 59131, 59141, 59153, 59159, 59162, 59165, 59166, 59167, 59170, 59179, 59184, 59187, 59190, 59194, 59206, 59212, 59213, 59219, 59228, 59243
FEDORA: 2013-6368