Mandriva Linux 安全性公告:java-1.7.0-openjdk (MDVSA-2014:011)

critical Nessus Plugin ID 72055

Synopsis

遠端 Mandriva Linux 主機缺少一或多個安全性更新。

描述

在 java-1.7.0-openjdk 中發現多個弱點且已更正:

在 2D 元件的字型配置引擎中發現輸入驗證瑕疵。處理特製的字型檔時,可觸發 Java 虛擬機器記憶體損毀。未受信任的 Java 應用程式或 applet 可能利用此瑕疵繞過特定 Java Sandbox 限制 (CVE-2013-5907)。

在 OpenJDK 的 CORBA、JNDI 和 Libraries 元件中發現多個不當權限檢查問題。未受信任的 Java 應用程式或 applet 可利用這些瑕疵來繞過 Java Sandbox 限制 (CVE-2014-0428、CVE-2014-0422、CVE-2013-5893)。

在 OpenJDK 的 Serviceability、Security、CORBA、JAAS、JAXP 和 Networking 元件中發現多個不當權限檢查問題。未受信任的 Java 應用程式或 applet 可利用這些瑕疵來繞過特定 Java Sandbox 限制 (CVE-2014-0373、CVE-2013-5878、CVE-2013-5910、CVE-2013-5896、CVE-2013-5884、CVE-2014-0416、CVE-2014-0376、CVE-2014-0368)。

據發現,Beans 元件未限制 XML 外部實體的處理。此瑕疵可造成使用 Beans 的 Java 應用程序洩漏敏感資訊,或是影響應用程式可用性 (CVE-2014-0423)。

據發現,TLS/SSL 交握期間 JSSE 元件可洩漏計時資訊。這可能導致洩漏使用過之加密金鑰的相關資訊 (CVE-2014-0411)。

更新版套件會提供這些安全性問題的解決方案。

解決方案

更新受影響的套件。

另請參閱

http://www.nessus.org/u?3c8576e2

http://www.nessus.org/u?17c46362

https://access.redhat.com/errata/RHSA-2014:0026

Plugin 詳細資訊

嚴重性: Critical

ID: 72055

檔案名稱: mandriva_MDVSA-2014-011.nasl

版本: 1.14

類型: local

已發布: 2014/1/21

已更新: 2021/1/6

風險資訊

VPR

風險因素: High

分數: 7.4

CVSS v2

風險因素: Critical

基本分數: 10

時間分數: 8.7

媒介: AV:N/AC:L/Au:N/C:C/I:C/A:C

時間媒介: E:ND/RL:OF/RC:C

弱點資訊

CPE: p-cpe:/a:mandriva:linux:java-1.7.0-openjdk, p-cpe:/a:mandriva:linux:java-1.7.0-openjdk-accessibility, p-cpe:/a:mandriva:linux:java-1.7.0-openjdk-demo, p-cpe:/a:mandriva:linux:java-1.7.0-openjdk-devel, p-cpe:/a:mandriva:linux:java-1.7.0-openjdk-headless, p-cpe:/a:mandriva:linux:java-1.7.0-openjdk-javadoc, p-cpe:/a:mandriva:linux:java-1.7.0-openjdk-src, cpe:/o:mandriva:business_server:1

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2014/1/20

參考資訊

CVE: CVE-2013-5878, CVE-2013-5884, CVE-2013-5893, CVE-2013-5896, CVE-2013-5907, CVE-2013-5910, CVE-2014-0368, CVE-2014-0373, CVE-2014-0376, CVE-2014-0411, CVE-2014-0416, CVE-2014-0422, CVE-2014-0423, CVE-2014-0428

BID: 64863, 64894, 64907, 64914, 64918, 64921, 64922, 64924, 64926, 64927, 64930, 64933, 64935, 64937

MDVSA: 2014:011