openSUSE 安全性更新:java-1_7_0-openjdk (openSUSE-SU-2013:1288-1)
critical Nessus Plugin ID 75101
語系:
概要
遠端 openSUSE 主機缺少安全性更新。說明
java-1_7_0-openjdk 已更新至 icedtea-2.4.1 (bnc#828665)- 安全性修正:
- S6741606、CVE-2013-2407:整合 Apache Santuario
- S7158805、CVE-2013-2445:更完善地重寫巢狀子常式呼叫
- S7170730、CVE-2013-2451:改善 Windows 網路堆疊支援。
- S8000638、CVE-2013-2450:改善還原序列化
- S8000642、CVE-2013-2446:更有效地處理物件以進行傳輸
- S8001032:限制物件存取
- S8001033、CVE-2013-2452:重構虛擬機器識別碼中的網路位址處理
- S8001034、CVE-2013-1500:改善記憶體管理
- S8001038、CVE-2013-2444:靈活處理資源
- S8001043:闡明定義限制
- S8001308:更新 applet 視窗的顯示
- S8001309:更完善地處理註釋介面
- S8001318、CVE-2013-2447:Socket.getLocalAddress 與 InetAddress.getLocalHost 不一致
- S8001330、CVE-2013-2443:改善檢查順序 (僅適用於非零版本)
- S8003703、CVE-2013-2412:更新 RMI 連線對話方塊
- S8004288、CVE-2013-2449:(fs) Files.probeContentType 問題
- S8004584:增強 applet 內容化
- S8005007:更有效處理字符
- S8006328、CVE-2013-2448:加強音訊類別的穩固性
- S8006611:改善指令碼
- S8007467:改善 JMX 內部 API 的穩固性
- S8007471:改善 MBean 通知
- S8007812、CVE-2013-2455:(反射) 某些類別有 Class.getEnclosingMethod 問題
- S8007925:改善 cmsStageAllocLabV2ToV4curves
- S8007926:改善 cmsPipelineDup
- S8007927:改善 cmsAllocProfileSequenceDescription
- S8007929:改善 CurvesAlloc
- S8008120、CVE-2013-2457:改善 JMX 類別檢查
- S8008124、CVE-2013-2453:更完善的合規性測試
- S8008128:更完善的 JMX API 連貫性
- S8008132、CVE-2013-2456:更完善的序列化支援
- S8008585:更完善的 JMX 資料處理
- S8008593:更完善的 URLClassLoader 資源管理
- S8008603:改善 JMX 提供者的佈建
- S8008607:改善 JMX 中的輸入檢查
- S8008611:更完善地處理 JMX 中的註釋
- S8008615:改善 JMX 內部 API 的穩固性
- S8008623:更完善地處理 MBeanServers
- S8008744、CVE-2013-2407:重製 JDK-6741606 的部分修正
- S8008982:針對基礎介面變更調整 JMX
- S8009004:改善 RMI 連線實作
- S8009008:更完善地管理 management-api
- S8009013:更完善地處理 T2K 字符
- S8009034:改善 JMX 中的結果通知
- S8009038:改善 JMX 通知支援
- S8009057、CVE-2013-2448:改善 MIDI 事件處理
- S8009067:改善 KeyStore 中的儲存金鑰
- S8009071、CVE-2013-2459:改善形狀處理
- S8009235:改善 TSA 資料處理
- S8009424、CVE-2013-2458:因應 JSR-292 實作變更來調整 Nashorn
- S8009554、CVE-2013-2454:改善 SerialJavaObject.getFields
- S8009654:改善 cmsnamed 的穩定性
- S8010209、CVE-2013-2460:更完善的 factory 佈建
- S8011243、CVE-2013-2470:改善 ImagingLib
- S8011248、CVE-2013-2471:更完善的元件點陣
- S8011253、CVE-2013-2472:更完善的簡短元件點陣
- S8011257、CVE-2013-2473:更完善的位元組元件點陣
- S8012375、CVE-2013-1571:改善 Javadoc 框架
- S8012421:更完善地定位 PairPositioning
- S8012438、CVE-2013-2463:更完善的影像驗證
- S8012597、CVE-2013-2465:更完善的影像通道驗證
- S8012601、CVE-2013-2469:更完善的影像配置驗證
- S8014281、CVE-2013-2461:更完善的 XML 簽章檢查
- S8015997:進一步改善 Javadoc 框架處理
- OpenJDK
- 清單過長,請查閱 NEWS 檔案
- java-1.7.0-openjdk-zero-arch.patch:修正零 arch 偵測
- 忽略構建期間的 rhino 相依性,以防止發生構建循環
- icedtea-2.4.0 (以 oracle jdk7u40 為基礎) 的更新
- OpenJDK (如需完整清單,請參閱 NEWS)
- PR1209、S7170638:在 JNI Set 和 SetStatic 欄位中使用 DTRACE_PROBE[N]。
- PR1206、S7201205:將 Makefile 組態選項新增至 OpenJDK 中具有無限加密的版本
- 反向移植
- PR1197、S8003120、RH868136:
ResourceManager.getApplicationResources() 不會關閉 InputStreams
- S8014618、RH962568:必須去除 DHKeyAgreement 之 TlsPremasterSecret 中的前置零
- 錯誤修正
- PR1212:由於程式碼無法再使用 Resources.getText(),因此 IcedTea7 無法進行構建
- 將 NSS (已取消註解) 新增至其他平台。
- 允許多個 PKCS11 程式庫初始化為非重要錯誤。
- 從本機 zlib 修補程式完全切換至上游版本。
- 包括 buildtree.make 中的 defs.make,因此,得以辨識 ZERO_BUILD 並設定 JVM_VARIANT_ZERO。
- 提供搭配 NSS 使用 PKCS11 提供者的支援
- 移除檔案,該檔案顯然已作為 Zero 上游的一部分而遭到移除。
- 還原 7060849
- 設定 UNLIMITED_CRYPTO=true,以確保我們使用無限原則。
- PR473:將 nss.cfg 中的 handleStartupErrors 設為 ignoreMultipleInitialisation
- PR716:IcedTea7 應與 IcedTea6 一起啟動
- 擴充 java.security.cert.* 匯入,避免在以 OpenJDK 6 構建時發生衝突。
- 修正未執行之 Makefile 區塊 (當設定 STRIP_POLICY=no_strip 時) 的縮排
- 修正 JEP 167 所引入之無效 XSL 樣式表和 DTD。
- 包括 buildtree.make 中的 defs.make,因此,得以辨識 ZERO_BUILD 並設定 JVM_VARIANT_ZERO。
- 確保使用 libffi cflags 和 libs。
- PR1378:將 AArch64 支援新增至 Zero
- PR1170:確保套用無限加密原則。
- RH513605、PR1280:更新/安裝 OpenJDK 應重建共用的 class-data 封存
- PR1358:強制要求 XRender
- PR1360:檢查 /usr/lib64 JVM 和一般 JPackage 替代
- PR1435、D657854:OpenJDK 7 傳回不正確的 TrueType 字型度量
- PR728:GTKLookAndFeel 不接受 gtk-alternative-button-order
- JamVM
- JSR 335:(lambda 運算式) 初始 hack
- JEP 171:在 sun.misc.Unsafe 中實作隔離方法
- 修正 invokespecial opcode 中的 invokesuper 檢查
- 修正非直接解譯器 invokespecial 超級類別檢查
- GC 原生方法時,不嘗試釋放程式碼
- 不釋放未準備的 Miranda 方法程式碼資料
- 設定匿名類別保護網域
- JVM_IsVMGeneratedMethodIx 虛設常式
- sun.misc.Perf 原生的虛擬實作
- zero 不再需要個別的 vm
- 中斷 java-1.7.0-openjdk-aarch64.patch (上游:PR1378)
- 修正 bnc#781690c#11 - 設定 posttrans 中的 JAVA_HOME,以便此 JVM 建立憑證
- 修正 postrans 條件 (新增遺漏的前置詞)
- 需要寬鬆版本,以便每個 java-devel >= 1.7.0 皆符合
解決方案
更新受影響的 java-1_7_0-openjdk 套件。另請參閱
https://bugzilla.novell.com/show_bug.cgi?id=781690
https://bugzilla.novell.com/show_bug.cgi?id=828665
https://lists.opensuse.org/opensuse-updates/2013-08/msg00001.html
Plugin 詳細資訊
嚴重性: Critical
ID: 75101
檔案名稱: openSUSE-2013-622.nasl
版本: 1.5
類型: local
代理程式: unix
已發布: 2014/6/13
已更新: 2022/3/29
支援的感應器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
風險資訊
VPR
風險因素: Critical
分數: 9.8
CVSS v2
風險因素: Critical
基本分數: 10
媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
弱點資訊
CPE: p-cpe:/a:novell:opensuse:java-1_7_0-openjdk, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-debugsource, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-demo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-demo-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-devel, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-devel-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-javadoc, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-src, cpe:/o:novell:opensuse:12.2, cpe:/o:novell:opensuse:12.3
必要的 KB 項目: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2013/7/24
CISA 已知遭惡意利用弱點到期日: 2022/4/18
可惡意利用
Core Impact
Metasploit (Java storeImageArray() Invalid Array Indexing Vulnerability)
參考資訊
CVE: CVE-2013-1500, CVE-2013-1571, CVE-2013-2407, CVE-2013-2412, CVE-2013-2443, CVE-2013-2444, CVE-2013-2445, CVE-2013-2446, CVE-2013-2447, CVE-2013-2448, CVE-2013-2449, CVE-2013-2450, CVE-2013-2451, CVE-2013-2452, CVE-2013-2453, CVE-2013-2454, CVE-2013-2455, CVE-2013-2456, CVE-2013-2457, CVE-2013-2458, CVE-2013-2459, CVE-2013-2460, CVE-2013-2461, CVE-2013-2463, CVE-2013-2465, CVE-2013-2469, CVE-2013-2470, CVE-2013-2471, CVE-2013-2472, CVE-2013-2473