openSUSE 安全性更新:java-1_7_0-openjdk (openSUSE-SU-2013:0377-1)
critical Nessus Plugin ID 74907
語系:
概要
遠端 openSUSE 主機缺少安全性更新。說明
java-1_7_0-openjdk 已更新至 icedtea-2.3.6 (bnc#803379),其中含有多種安全性和錯誤修正:- 安全性修正:
- S6563318、CVE-2013-0424:RMI 資料清理
- S6664509、CVE-2013-0425:新增記錄內容
- S6664528、CVE-2013-0426:尋找符合建構時所提供之名稱或值的記錄層級
- S6776941:CVE-2013-0427:改善執行緒集區關閉
- S7141694、CVE-2013-0429:改善 CORBA 內部
- S7173145:改善 splashscreen 的記憶體內部表示法
- S7186945:改善 Unpack200
- S7186946:精簡解除封包程式資源使用量
- S7186948:改善 Swing 資料驗證
- S7186952、CVE-2013-0432:改善剪貼簿存取
- S7186954:提升連線效能
- S7186957:改善 Pack200 資料驗證
- S7192392、CVE-2013-0443:改善用戶端金鑰驗證
- S7192393、CVE-2013-0440:改善 TLS 訊息排序檢查
- S7192977、CVE-2013-0442:工具組執行緒的問題
- S7197546、CVE-2013-0428:(proxy) 關於建立反射式 Proxy 的反映
- S7200491:加強 JTable 配置程式碼
- S7200493、CVE-2013-0444:改善快取處理
- S7200499:改善選項的資料驗證
- S7200500:改善啟動器輸入驗證
- S7201064:改善對話方塊檢查
- S7201066、CVE-2013-0441:變更未使用欄位的修飾詞
- S7201068、CVE-2013-0435:改善 UI 元素處理
- S7201070:序列化符合通訊協定
- S7201071、CVE-2013-0433:InetSocketAddress 序列化問題
- S8000210:改善 JarFile 程式碼品質
- S8000537、CVE-2013-0450:將 RequiredModelMBean 類別內容化
- S8000539、CVE-2013-0431:自我檢查 JMX 資料處理
- S8000540、CVE-2013-1475:改善 IIOP 類型重新使用管理
- S8000631、CVE-2013-1476:限制類別建構函式的存取
- S8001235、CVE-2013-0434:改善 JAXP HTTP 的處理
- S8001242:改善 RMI HTTP 合規性
- S8001307:修改 ACC_SUPER 行為
- S8001972、CVE-2013-1478:改善影像處理
- S8002325、CVE-2013-1480:改善影像管理
- 反向移植
- S7057320:
test/java/util/concurrent/Executors/AutoShutdown.java 會間歇性失敗
- S7083664:TEST_BUG:測試使用 c:/temp 的硬式編碼,但此目錄可能不存在
- S7107613:javax.crypto.CryptoPermissions 中的延展性封鎖程式
- S7107616:javax.crypto.JceSecurityManager 中的延展性封鎖程式
- S7146424:單一項目類別路徑的萬用字元擴充
- S7160609:[macosx] libjvm.dylib 中的 JDK 損毀 ( C [GeForceGLDriver+0x675a] gldAttachDrawable+0x941)
- S7160951:[macosx] 使用 ScreenMenuBar 針對 JMenuItem 呼叫兩次 ActionListener
- S7162488:VM 未列印未知 -XX 選項
- S7169395:因 JDK 7 物件遊走中的變更且無法符合回溯相容性而導致例外狀況擲回
- S7175616:從 JDK 8 到 JDK 7 之 TimeZone 的連接埠修正
- S7176485:(bf) 允許暫存緩衝區快取增加到 IOV_MAX
- S7179908:從 jdk7u7 的 hs22.2 分支 hs23.3 hsx,以及重新初始化版本編號
- S7184326:TEST_BUG:
java/awt/Frame/7024749/bug7024749.java 有一個錯字
- S7185245:使用人來源套件組合嘗試編譯 JFR
- S7185471:避免在使用相同金鑰 re-init AES 密碼時的金鑰擴充
- S7186371:[macosx] 主功能表捷徑未顯示出來 (7u6 迴歸)
- S7187834:[macosx] 在 macosx 2d 實作中使用私人 API 會造成 Apple Store 拒絕
- S7188114:(啟動器) 針對 Windows 需要一個替代的命令列剖析器
- S7189136:從 jdk7u9 的 hs23.4 分支 hs23.5 hsx,以及重新初始化版本編號
- S7189350:修正 CR 7162144 的失敗
- S7190550:REGRESSION:一些 closed/com/oracle/jfr/api 測試因修正 7185245 而無法編譯
- S7193219:JComboBox 序列化在 JDK 1.7 中失敗
- S7193977:REGRESSION:Java 7 的 JavaBeans 持續性會忽略內容上的 'transient' 旗標
- S7195106:REGRESSION:發佈 Softreference 之後,沒有方法可取得圖示 inf
- S7195301:XML 簽章 DOM 實作不應使用 instanceof 來判斷節點的類型
- S7195931:從 jre7u6+ 使用 NSS 時,PKCS11.C_GetOperationState 上的 UnsatisfiedLinkError
- S7197071:多種安全性供應商的 Makefile 未包含預設資訊清單。
- S7197652:無法執行任何已簽署的 JNLP 應用程式或 applet,OCSP 預設為關閉
- S7198146:其他新迴歸測試不會在 windows-amd64 上編譯
- S7198570:(tz) 支援 tzdata2012f
- S7198640:新增熱點版本 - hs23.6-b04
- S7199488:[TEST] runtime/7158800/InternTest.java 因對 PID 符合的誤判而失敗。
- S7199645:hs23.5 至 b02 的遞增版本編號
- S7199669:針對 CPU 版本重新命名,更新 .hgtags 檔案中的標籤
- S7200720:NTLM 驗證期間,net.dll 中的損毀
- S7200742:(se) Selector.select 在啟動 Coherence 時不會封鎖 (sol11u1)
- S7200762:[macosx] 停滯於 sun.java2d.opengl.CGLGraphicsConfig.getMaxTextureSize(Na tive Method)
- S8000285:PostEventQueue.noEvents、EventQueue.isDispatchThread 和 SwingUtilities.invokeLater 之間的鎖死
- S8000286:[macosx] 檢視會在 DnD 之後一直往回捲動至拖曳位置
- S8000297:REGRESSION:
closed/java/awt/EventQueue/PostEventOrderingTest.java 失敗
- S8000307:Jre7cert:執行 alt + tab 時,不會針對所有焦點 req 呼叫 focusgained
- S8000822:從 jdk7u11 的 hs23.6 分支 hs23.7 hsx,以及重新初始化版本編號
- S8001124:jdk7u ProblemList.txt 更新 (10/2012)
- S8001242:改善 RMI HTTP 合規性
- S8001808:針對 8000327 建立測試
- S8001876:針對 8000283 建立 regtest
- S8002068:版本損毀:corba 程式碼變更無法使用新 JDK 7 類別
- S8002091:在 Windows 上,tools/launcher/ToolsOpts.java 測試從 7u11 b01 開始失敗
- S8002114:修正 JDK-7160951 的失敗:[macosx] 使用 ScreenMenuBar 針對 JMenuItem 呼叫兩次 ActionListener
- S8002225:(tz) 支援 tzdata2012i
- S8003402:(dc) test/java/nio/channels/DatagramChannel/SendToUnresovled。
java 在 7u11 清理問題之後失敗
- S8003403:測試 ShortRSAKeyWithinTLS 和 ClientJSSEServerJSSE 在 7u11 清理之後失敗
- S8003948:NTLM/交涉驗證問題
- S8004175:在 java.security 中新增的受限套件會在 java.security-{macosx, solaris, windows} 中遺漏
- S8004302:javax/xml/soap/Test7013971.java 自 jdk6u39b01 以來失敗
- S8004341:兩個 JCK 測試發生 7u11 b06 失敗
- S8005615:Java 記錄器無法載入 tomcat 記錄器實作 (JULI)
- 錯誤修正
- 修正使用零熱點的版本,使所有修補程式都會再次套用。
- PR1295:jamvm 平行解壓縮失敗
- 移除 icedtea-2.3.2-fix-extract-jamvm-dependency.patch
- 移除 icedtea-2.3.3-refresh-6924259-string_offset.patch
- 少數遺漏的 /openjdk/%{origin}/ 變更
解決方案
更新受影響的 java-1_7_0-openjdk 套件。另請參閱
https://bugzilla.novell.com/show_bug.cgi?id=803379
https://lists.opensuse.org/opensuse-updates/2013-03/msg00003.html
Plugin 詳細資訊
嚴重性: Critical
ID: 74907
檔案名稱: openSUSE-2013-165.nasl
版本: 1.9
類型: local
代理程式: unix
已發布: 2014/6/13
已更新: 2022/5/25
支援的感應器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.7
CVSS v2
風險因素: Critical
基本分數: 10
時間分數: 8.7
媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
弱點資訊
CPE: p-cpe:/a:novell:opensuse:java-1_7_0-openjdk, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-debugsource, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-demo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-demo-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-devel, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-devel-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-javadoc, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-src, cpe:/o:novell:opensuse:12.2
必要的 KB 項目: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2013/2/21
弱點發布日期: 2013/1/31
CISA 已知遭惡意利用弱點到期日: 2022/6/15
可惡意利用
Core Impact
Metasploit (Java Applet JMX Remote Code Execution)
參考資訊
CVE: CVE-2013-0424, CVE-2013-0425, CVE-2013-0426, CVE-2013-0427, CVE-2013-0428, CVE-2013-0429, CVE-2013-0431, CVE-2013-0432, CVE-2013-0433, CVE-2013-0434, CVE-2013-0435, CVE-2013-0440, CVE-2013-0441, CVE-2013-0442, CVE-2013-0443, CVE-2013-0444, CVE-2013-0450, CVE-2013-1475, CVE-2013-1476, CVE-2013-1478, CVE-2013-1480