openSUSE 安全性更新:java-1_7_0-openjdk (openSUSE-SU-2012:1154-1)

critical Nessus Plugin ID 74748

概要

遠端 openSUSE 主機缺少安全性更新。

說明

Java-1_7_0-openjdk 已更新,可修正遠端惡意利用 (CVE-2012-4681)。

錯誤修正也已完成:

- 修正 ARM 與 i586 上的版本

- 移除不再使用的檔案

- 可以使用 rpmbuild 啟用零版本 (osc 版本)
--具有零

- 新增零所需要的 hotspot 2.1

- 修正 %{ix86} 上的檔案清單

- 安全性修正:

- S7162476、CVE-2012-1682:透過 ClassFinder 所觸發的 XMLDecoder 安全性問題

- S7194567、CVE-2012-3136:改善 java.beans 物件的長期持續性

- S7163201、CVE-2012-0547:簡化工具組內部參照

- RH852051、CVE-2012-4681、S7162473:重新引入在 6788531 中移除的 PackageAccessible 檢查。

- OpenJDK

- 修正 2.3 的零 FTBFS 問題

- S7180036:Mac 平台中由修正 # 7163201 所造成的構建失敗

- S7182135:無法直接使用某些編輯器

- S7183701:[TEST] closed/java/beans/security/TestClassFinder.java –
編譯失敗

- S7185678:
java/awt/Menu/NullMenuLabelTest/NullMenuLabelTest.java 使用 NPE 失敗

- 錯誤修正

- PR1149:未封裝零特定修補程式檔案

- 再次針對版本使用 icedtea tarball,這會導致捨棄下列檔案,因為它們已在 tarball 中並已簡化 %prep 與 %build

- 捨棄 class-rewriter.tar.gz

- 捨棄 systemtap-tapset.tar.gz

- 捨棄 desktop-files.tar.gz

- 捨棄 nss.cfg

- 捨棄 pulseaudio.tar.gz

- 捨棄 remove-intree-libraries.sh

- 針對 openjdk、corba、jaxp、jaxws、jdk、langtools 與 hotspot 從 icedtea7-forest-2.3 新增封存

- 捨棄 rhino.patch、pulse-soundproperties 與 systemtap 修補程式

- 在 make 之前移動 gnome bridge 修補程式,因為修補程式如果在構建 openjdk 之後失敗會很惱人。

- 在 %files 區段中使用明確檔案屬性以防止未來發生檔案權限問題 (例如 bnc#770040)

- 已變更版本配置,所以它現在符合 Oracle Java 1.7.0.6 == Java7 u 6

- icedtea-2.3.1 / OpenJDK7 u6 的更新 (bnc#777499)

- 安全性修正:

- RH852051、CVE-2012-4681:重新引入在 6788531 中移除的 PackageAccessible 檢查。

- 錯誤修正

- PR902:PulseAudioClip getMicrosecondsLength() 傳回以毫秒為單位的長度,而不是以微秒為單位的長度

- PR986:IcedTea7 無法使用 IcedTea6 CACAO 構建,這是因為較低的最大堆積大小所導致

- PR1050:資料流物件未經過記憶體回收行程

- PR1119:如果開機 JDK 中確實遺漏類別 (或是一或多個方法/欄位),則僅將類別新增至 rt-source-files.txt

- PR1137:允許透過設定 COMPRESS_JARS 來選擇性地壓縮 JAR

- OpenJDK

- 使 GConf 的動態支援再次運作。

- PR1095:為 -Werror 新增組態選項

- PR1101:GNU/Linux SPARC 上未定義的符號

- PR1140:不應安裝不需要的 diz 檔案

- S7192804、PR1138:版本不應為 OpenJDK 安裝 jvisualvm 手冊頁

- JamVM

- ARMv6 armhf:Raspbian 的變更 (Raspberry Pi)

- PPC:如果不支援,則不使用 lwsync

- X86:為 i386 產生機器相依性虛設常式

- 當暫停時,忽略已停止回應之卸離的執行緒,這會防止使用者在外部執行緒已透過 JNI 附加至 VM 且其在未卸離的情況下結束時造成鎖死

- 針對從 JNI 傳遞的參照新增遺漏的 REF_TO_OBJ,這可讓 JamVM 執行 Qt-Jambi

- 2.3 版中有一些修正,請參閱 NEWS

解決方案

更新受影響的 java-1_7_0-openjdk 套件。

另請參閱

https://bugzilla.novell.com/show_bug.cgi?id=770040

https://bugzilla.novell.com/show_bug.cgi?id=777499

https://lists.opensuse.org/opensuse-updates/2012-09/msg00052.html

Plugin 詳細資訊

嚴重性: Critical

ID: 74748

檔案名稱: openSUSE-2012-592.nasl

版本: 1.7

類型: local

代理程式: unix

已發布: 2014/6/13

已更新: 2022/3/8

支援的感應器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Critical

分數: 9.8

CVSS v2

風險因素: Critical

基本分數: 10

時間分數: 7.8

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

弱點資訊

CPE: p-cpe:/a:novell:opensuse:java-1_7_0-openjdk, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-debugsource, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-demo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-demo-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-devel, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-devel-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-javadoc, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-src, cpe:/o:novell:opensuse:12.2

必要的 KB 項目: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2012/9/7

弱點發布日期: 2012/8/28

CISA 已知遭惡意利用弱點到期日: 2022/3/24

可惡意利用

CANVAS (CANVAS)

Core Impact

Metasploit (Java 7 Applet Remote Code Execution)

參考資訊

CVE: CVE-2012-0547, CVE-2012-1682, CVE-2012-3136, CVE-2012-4681

BID: 55213, 55336, 55337, 55339