Mandriva Linux 安全性公告:java-1.7.0-openjdk (MDVSA-2014:011)
critical Nessus Plugin ID 72055
語系:
概要
遠端 Mandriva Linux 主機缺少一或多個安全性更新。說明
在 java-1.7.0-openjdk 中發現多個弱點且已更正:在 2D 元件的字型配置引擎中發現輸入驗證瑕疵。處理特製的字型檔時,可觸發 Java 虛擬機器記憶體損毀。未受信任的 Java 應用程式或 applet 可能利用此瑕疵繞過特定 Java Sandbox 限制 (CVE-2013-5907)。
在 OpenJDK 的 CORBA、JNDI 和 Libraries 元件中發現多個不當權限檢查問題。未受信任的 Java 應用程式或 applet 可利用這些瑕疵來繞過 Java Sandbox 限制 (CVE-2014-0428、CVE-2014-0422、CVE-2013-5893)。
在 OpenJDK 的 Serviceability、Security、CORBA、JAAS、JAXP 和 Networking 元件中發現多個不當權限檢查問題。未受信任的 Java 應用程式或 applet 可利用這些瑕疵來繞過特定 Java Sandbox 限制 (CVE-2014-0373、CVE-2013-5878、CVE-2013-5910、CVE-2013-5896、CVE-2013-5884、CVE-2014-0416、CVE-2014-0376、CVE-2014-0368)。
據發現,Beans 元件未限制 XML 外部實體的處理。此瑕疵可造成使用 Beans 的 Java 應用程序洩漏敏感資訊,或是影響應用程式可用性 (CVE-2014-0423)。
據發現,TLS/SSL 交握期間 JSSE 元件可洩漏計時資訊。這可能導致洩漏使用過之加密金鑰的相關資訊 (CVE-2014-0411)。
更新版套件會提供這些安全性問題的解決方案。
解決方案
更新受影響的套件。另請參閱
http://www.nessus.org/u?3c8576e2
Plugin 詳細資訊
嚴重性: Critical
ID: 72055
檔案名稱: mandriva_MDVSA-2014-011.nasl
版本: 1.14
類型: local
已發布: 2014/1/21
已更新: 2021/1/6
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.9
CVSS v2
風險因素: Critical
基本分數: 10
時間分數: 8.7
媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
弱點資訊
CPE: p-cpe:/a:mandriva:linux:java-1.7.0-openjdk, p-cpe:/a:mandriva:linux:java-1.7.0-openjdk-accessibility, p-cpe:/a:mandriva:linux:java-1.7.0-openjdk-demo, p-cpe:/a:mandriva:linux:java-1.7.0-openjdk-devel, p-cpe:/a:mandriva:linux:java-1.7.0-openjdk-headless, p-cpe:/a:mandriva:linux:java-1.7.0-openjdk-javadoc, p-cpe:/a:mandriva:linux:java-1.7.0-openjdk-src, cpe:/o:mandriva:business_server:1
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2014/1/20
參考資訊
CVE: CVE-2013-5878, CVE-2013-5884, CVE-2013-5893, CVE-2013-5896, CVE-2013-5907, CVE-2013-5910, CVE-2014-0368, CVE-2014-0373, CVE-2014-0376, CVE-2014-0411, CVE-2014-0416, CVE-2014-0422, CVE-2014-0423, CVE-2014-0428
BID: 64863, 64894, 64907, 64914, 64918, 64921, 64922, 64924, 64926, 64927, 64930, 64933, 64935, 64937
MDVSA: 2014:011