偵測

openSUSE 安全性更新:java-1_7_0-openjdk (openSUSE-SU-2013:1663-1)

critical Nessus Plugin ID 75196

語系:

概要

遠端 openSUSE 主機缺少安全性更新。

說明

icedtea 2.4.3 的更新 (bnc#846999) 與上游 u45 b31 同步的 OpenJDK 7 支援可修正以下問題:

- S8006900、CVE-2013-3829:新增日期/時間功能

- S8008589:改善 MBean 權限驗證

- S8011071、CVE-2013-5780:改善加密提供者處理

- S8011081、CVE-2013-5772:改善 jhat

- S8011157、CVE-2013-5814:改善 CORBA 可攜性

- S8012071、CVE-2013-5790:改善 Beans 的構建

- S8012147:改善工具支援

- S8012277:CVE-2013-5849:改善 AWT DataFlavor

- S8012425、CVE-2013-5802:轉換 TransformerFactory

- S8013503、CVE-2013-5851:改善資料流工廠

- S8013506:改善 Pack200 資料處理

- S8013510、CVE-2013-5809:增強影像寫入程式碼

- S8013514:改善 cmap 類別的穩定性

- S8013739、CVE-2013-5817:改善 LDAP 資源管理

- S8013744、CVE-2013-5783:改善 AWT 的製表功能

- S8014085:改善 JMX 類別的序列化支援

- S8014093、CVE-2013-5782:改善影像的剖析

- S8014098:改善設定檔驗證

- S8014102、CVE-2013-5778:改善影像轉換

- S8014341、CVE-2013-5803:改善來自 Kerberos 伺服器的服務

- S8014349、CVE-2013-5840:(cl) Class.getDeclaredClass 在某些類別載入器組態中有問題

- S8014530、CVE-2013-5825:改善數位簽章處理

- S8014534:改善分析支援

- S8014987、CVE-2013-5842:增強序列化處理

- S8015614:更新 build 設定

- S8015731:使 java.security.auth.subject 套用改善項目

- S8015743、CVE-2013-5774:處理網際網路位址

- S8016256:使完成項為最終項目

- S8016653、CVE-2013-5804:javadoc 應忽略名稱中的可忽略字元

- S8016675、CVE-2013-5797:使 Javadoc 頁面更健全

- S8017196、CVE-2013-5850:確認正確處理 Proxy

- S8017287、CVE-2013-5829:改善資源棄置

- S8017291、CVE-2013-5830:棄置 Proxy

- S8017298、CVE-2013-4002:改善 XML 支援

- S8017300、CVE-2013-5784:改善介面實作

- S8017505、CVE-2013-5820:改善用戶端服務

- S8019292:改善屬性值例外狀況

- S8019617:改善物件檢視

- S8020293:JVM 當機

- S8021275、CVE-2013-5805:改善 ScreenMenu 的過濾

- S8021282、CVE-2013-5806:改善物件執行個體的回收

- S8021286:改善 MacOS 資源處理

- S8021290、CVE-2013-5823:改善簽章驗證

- S8022931、CVE-2013-5800:增強 Kerberos 例外狀況

- S8022940:增強 CORBA 轉譯

- S8023683:增強類別檔案剖析

- 反向移植

- S6614237:在 java 運行時間遺漏程式碼頁面 Cp290

- S8005932:mac os x 上的 Java 7 只提供文字剪貼簿格式

- S8014046:(處理程序) 在命令含有空格的情況下,Runtime.exec(String) 會失敗 [win]

- S8015144:ICU OpenType Layout 程式庫中的效能迴歸

- S8015965:(處理程序) 內容名稱中的錯字,允許模糊的命令

- S8015978:XPath 運算式 'string(-0)' 的不正確轉換

- S8016357:更新熱點診斷類別

- S8019584:
javax/management/remote/mandatory/loading/MissingClassTe st.java 在夜間防 jdk7u45 攻擊失敗:
java.io.InvalidObjectException:通知無效:
NULL

- S8019969:
nioNetworkChannelInet6/SetOptionGetOptionTestInet6 測試案例損毀

- S8020032:7u fastdebug 未產生 fastdebuginfo 檔案

- S8020085:7u45 的 Linux ARM 版本失敗

- S8020088:增加適用於 7u45 的微調版本 HSx,並初始化版本編號

- S8020551:針對 7u45-b03 將 hsx 版本遞增至 b03

- S8020943:GCNotifier 使用 create_from_platform_dependent_str() 時的記憶體洩漏

- S8021287:改善 MacOS 資源處理

- S8021355:REGRESSION:在 Linux、Solaris 上的 7u45 b01 之後,有五個 closed/java/awt/SplashScreen 測試失敗

- S8021360:透過安全性管理員啟動 RMI-IIOP 通訊協定的 JMXConnectorServer 時,並未匯出物件

- S8021366:
java_util/Properties/PropertiesWithOtherEncodings 在 7u45 夜間測試時失敗

- S8021577:JCK 測試 api/javax_management/jmx_serial/modelmbean/ModelMBeanNotificationInfo/serial/index.html#Input 在 jdk 7u45 b01 後失敗

- S8021899:在合併 7u40 後重新調整 7u45 中的 # 8020498 修正

- S8021901:針對 7u45-b05 將 hsx 版本遞增至 b05

- S8021933:新增 # JDK-8014530 修正的額外檢查

- S8021969:記錄擲回例外狀況時,index_AccessAllowed jnlp 無法成功載入。

- S8022066:簽章多形方法的方法參照評估會使 VM 當機

- S8022086:修正新增檔案的授權

- S8022254:移除 jdk7u-cpu forest 中不正確的 jdk7u45-b05 標籤

- S8022661:InetAddress.writeObject() 在物件輸出資料流上執行 flush()

- S8022682:支援 XOM

- S8022808:Kitchensink 在 macos 上懸置

- S8022856:7u45 l10n 資源檔案轉譯更新

- S8023323:針對 7u45-b06 將 hsx 版本遞增至 b08

- S8023457:事件型追蹤架構需要執行緒群組的 mutex

- S8023478:GCNotifier 的測試因 HS 損毀而失敗。

- S8023741:針對 7u45-b09 將 hsx 24.45 版本遞增至 b07

- S8023771:若是為了新增字串至 java -version 而設定 USER_RELEASE_SUFFIX,套件組合名稱的版本編號不應改為 b00

- S8023888:針對 7u45-b10 將 hsx 24.45 版本遞增至 b08

- S8023964:java/io/IOException/LastErrorString.java 應為 @ignore-d

- S8024369:對 7u40-b61 psu 的 hs24.0 至 b57 之遞增版本編號

- S8024668:
api/java_nio/charset/Charset/index.html#Methods JCK-runtime 測試因 7u45 b11 而失敗

- S8024697:8020983 的修正造成 Xcheck:jni 警告

- S8024863:X11:將 GNOME Shell 視為 mutter 加以支援

- S8024883:在 fd >= 64k (lnx) 的情況下,(se) SelectableChannel.register 會擲回 NPE

- S8025128:在前置詞是絕對路徑時,File.createTempFile 會失敗

- S8025170:9/19 後的 jdk7u51 7u-1-prebuild 會失敗

- 錯誤修正

- PR1400:已最大化的 AWT 視窗選單在 Mate 中無法運作

- 更新至 IcedTea 2.4.2

- System LCMS 2 支援重新預設啟用,此需要 2.5 版或更新版本。

- OpenJDK

- S7122222:GC 記錄針對 32 位元限為 2G

- S7162400:Intermittent java.io.IOException:HotSpotVirtualMachine.executeCommand 期間的錯誤檔案編號

- S7165807:NSS 密碼編譯程式庫的未最佳化初始化會導致延展性問題

- S7199324:IPv6:JMXConnectorServer.getConnectionIDs() 傳回 ID 否定來解決語法

- S8001345:VM 因 assert(n->outcnt() != 0 || C->top() == n || n->is_Proj()) 失敗而當機:配置後沒有無作用的指示

- S8001424:G1:重新命名某些 G1 特定旗標

- S8001425:G1:變更某些 G1 特定旗標的預設值

- S8004859:根據轉換而異,Graphics.getClipBounds/getClip 會傳回差異非等同邊界

- S8005019:JTable 在插入選取間隔時會傳遞列索引,而非長度

- S8005194:[parfait] #353 sun/awt/image/jpeg/imageioJPEG.c 以 calloc() 配置的指標 'scale' 記憶體洩漏

- S8006941:[macosx] 拖放中的鎖死

- S8007898:Matcher::post_store_load_barrier() 中不正確的記憶體障礙最佳化

- S8009168:accessibility.properties 語法問題

- S8009985:[parfait] jdk/src/solaris/native/com/sun/management/UnixOperatingSystem_md.c 中的未初始化變數

- S8011064:某些測試因 b82 版本上 arm-hflt 的 SIGSEGV 而失敗

- S8011569:ARM -- 避免原生堆疊執行

- S8011760:assert(delta != 0) 失敗:MemBaseline::malloc_sort_by_addr 中的 dup 指標

- S8012144:staxf 上的多個 SIGSEGV 失敗

- S8012156:win32/64 的 tools/javac/file/zip/T6865530.java 失敗

- S8012241:NMT 大量記憶體使用量,這通常會導致 OOME

- S8012366:若只構建 OpenJDK (而無部署及安裝 forest),8007815 的修正會中斷

- S8013546:compiler/8011901/Test8011901.java 因 CompilationError 而失敗:編譯失敗

- S8013719:hs23.21 至 b02 的遞增版本編號

- S8013791:G1:G1CollectorPolicy::initialize_flags() 可能設定 min_alignment > max_alignment

- S8014264:一旦點選下拉式核取方塊,applet pathguy_TimeDead 會在 java 主控台中擲回 java.lang.NullPointerException。

- S8014312:從 jdk7u25 的 hs23.21 分支 hs23.25 hsx,以及重新初始化版本編號

- S8014805:若憑證沒有 AuthorityKeyIdentifier 延伸模組,NPE 會在 certpath 驗證期間擲回

- S8014850:7u40 的 Third-Party License Readme 更新

- S8014925:停用 sun.reflect.Reflection.getCallerClass(int),其有暫時開關可以加以重新啟用

- S8015237:強式 root 處理時將字串表格掃描平行化

- S8015411:針對客戶升級 7u21-b50 的 hsx 版本編號

- S8015441:runThese 因 assert(opcode == Op_ConP || opcode == Op_ThreadLocal || opcode == Op_CastX2P ..) 失敗而損毀:功能健全

- S8015576:CMS:svc 代理程式擲回 java.lang.RuntimeException:資料庫中沒有名為 'FreeList' 的類型

- S8015668:過載解析:JDK 7 中的效能迴歸

- S8015884:runThese 因 SIGSEGV 而損毀,hs_err 存有一個錯誤而非堆疊追蹤

- S8016074:NMT:宣告失敗:
assert(thread->thread_state() == from) 失敗:來自錯誤的執行緒狀態

- S8016102:對 7u25-b31 psu 的 hs23.25 至 b02 之遞增版本編號

- S8016131:nsk/sysdict/vm/stress/chain 測試使 'entry_frame_is_first()' 中的 VM 當機

- S8016133:迴歸:具有使用者定義之 SAXParser 的 diff. 行為

- S8016157:在 CTW 期間:C2:
assert(!def_outside->member(r)) 失敗:外部 LRG 的使用覆蓋此區塊中定義的相同 LRG

- S8016331:事件追蹤詮釋資料中的輕微問題

- S8016648:設為 true 或 false 的 FEATURE_SECURE_PROCESSING 造成 SAXParseException 擲回

- S8016734:因推撥重複而將額外的程式碼移除

- S8016737:點選「未自動分頁列印」按鈕後,會依「第 1 頁」、「第 2 頁」、「第 1 頁」的順序列印

- S8016740:GC_locker 中來自 PSOldGen::expand 的宣告,具有
-XX:+PrintGCDetails 和 Verbose

- S8016767:提供從 OpenJDK 的 DARB 產生的手冊頁

- S8017070:G1:assert(_card_counts[card_num] <= G1ConcRSHotCardLimit) 失敗

- S8017159:取消排除 sun/tools/JMAP/Basic.sh 測試

- S8017173:具有 RSA_OAEP Key Transport 演算法的 XMLCipher 無法具現化

- S8017174:使用 Logger.getAnonymousLogger 或 LogManager.getLogManager().getLogger 時出現 NPE

- S8017189:[macosx] Mac 上停用 AWT 程式選單

- S8017252:新增熱點版本 - hs24-b51

- S8017478:Kitchensink 因 BaselineReporter::diff_callsites 中的 SIGSEGV 而損毀

- S8017483:在增加 HeapBaseMinAddress 後,G1 測試因 Solaris x86 中的原生 OOME 而失敗

- S8017510:新增 8005956 的迴歸測試

- S8017566:退出 8000450 - 無法存取 com.sun.corba.se.impl.orb.ORBImpl

- S8017588:SA:附加至以 CMS GC 啟動的 java 核心檔案時,jstack -l 會擲回 UnalignedAddressException

- S8019155:以正確的 jfr 套件更新 Makefile

- S8019201:迴歸:java.awt.image.ConvolveOp 擲回 java.awt.image.ImagingOpException

- S8019236:[macosx] 新增 javadoc 至 CEmbeddedFrame 中的 handleWindowFocusEvent

- S8019265:[macosx] apple.laf.useScreenMenuBar 與 jdk6 比較發聲迴歸

- S8019298:新增熱點版本 - hs24-b52

- S8019381:HashMap.isEmpty 並非 get/remove 的最終潛在問題

- S8019541:7u40 l10n 資源檔案轉譯更新

- S8019587:[macosx] 為不同畫面設定相同框架的可能性

- S8019625:測試 compiler/8005956/PolynomialRoot.java 在 Solaris SPARC 上逾時

- S8019628:[macosx] 在 MacOS 上,7u40b30 後的 closed/java/awt/Modal/BlockedMouseInputTest/BlockedMouse InputTest.html 會失敗

- S8019826:測試 com/sun/management/HotSpotDiagnosticMXBean/SetVMOption.java 因 NPE 而失敗

- S8019933:新增熱點版本 - hs24-b53

- S8019979:從關閉的存放庫將 CheckPackageAccess 測試取代為較好的測試

- S8020038:[macosx] invokeLater() 的使用不正確,且從 AppKit 執行緒透過 JNI 呼叫的回呼也有類似情形

- S8020054:(tz) 支援 tzdata2013d

- S8020155:當有非常龐大的配置干擾時,PSR:PERF G1 不會收集舊的區域

- S8020215:使用 JIT 和解譯器時的執行計畫不同

- S8020228:還原 logging_xx.properties 的轉譯版本

- S8020298:[macosx] lwawt 程式碼中的合併不正確

- S8020319:更新 7u40 的日文手冊頁

- S8020371:[macosx] 具有拖放功能的 applet 因 IllegalArgumentException 而失敗

- S8020381:新增熱點版本 - hs24-b54

- S8020425:在次要版本中不當移除的產品選項

- S8020430:2013 年 7 月 12 日 xml sqe 晚間結果的 NullPointerException

- S8020433:使用 -XX:+RestoreMXCSROnJNICalls 時當機

- S8020498:同時載入 libnet.so 和 libmawt.so 時當機

- S8020525:對 7u25-b34 psu 的 hs23.25 至 b03 之遞增版本編號

- S8020547:事件型追蹤需要 UNICODE 字串類型

- S8020625:[TESTBUG] java/util/HashMap/OverrideIsEmpty.java 未針對 jdk7u 進行編譯

- S8020701:避免 WatcherThread 中的損毀

- S8020796:新增熱點版本 - hs24-b55

- S8020811:[macosx] 合併錯誤 7u25-7u40:遺漏的焦點修正 JDK-8012330

- S8020940:有效 OCSP 回應因追溯查詢而遭到拒絕

- S8020983:非記憶體回收 JPEGImageWriter 執行個體造成的 OutOfMemoryError

- S8021008:提供 Mac 的 java 和 jcmd 手冊頁 (OpenJDK)

- S8021148:7u40 b34 中的 SAXParserImpl 迴歸 (NPE)

- S8021353:事件型追蹤遺漏執行緒結束

- S8021381:Swing JDialog 隨附的 JavaFX 情境未從 Web Start 啟動

- S8021565:新增熱點版本 - hs24-b56

- S8021771:在 OSX 10.7.5 上構建時,警告 stat64 已過時

- S8021946:預設停用 sun.reflect.Reflection.getCallerCaller(int) 會使數個架構和程式庫中斷

- S8022548:SPECJVM2008 具有 7u40-b34 中引入的錯誤

- S8023751:需要移除 8020943,已推撥至 hs24 而未核准

- S8024914:在 bitMap.inline.hpp 中切換使用 idx_t 和 bm_word_t 類型

- 新功能

- RH991170:java 未使用正確的 kerberos 認證快取

- PR1536:允許使用系統 Kerberos 來取得快取位置

- PR1551:新增 Zero AArch64 的版本支援

- PR1552:新增 ARM 架構的 -D_LITTLE_ENDIAN。

- PR1553:新增 Debian AArch64 支援

- PR1554:修正 Mac OS X 上的版本

- 錯誤修正

- RH661505:具有 sRGB IEC61966-2.1 色彩設定檔的 JPEG 帶有錯誤的顏色

- RH995488:Java 認為預設時區為 Busingen,而非 Zurich

- 在 TimeZone_md 中適當移除檔案資源。

- PR1410:Icedtea 2.3.9 無法使用 icedtea 1.12.4 構建

- G477456:emerge 在 pax system 上失敗:java 嘗試 RWX 對應,paxctl -m 遺漏

- G478484:patches/boot/ecj-diamond.patch 失敗

- 修正在 8016131 中變更 entry_frame_call_wrapper 後的 Zero

- 設定 flags.make 中的 ZERO_BUILD,使其在重新構建時設定

- 轉換應使用與 GCDrainStackTargetSize 相同的類型 (uintx)。

- 新增轉換以修正 S390 上的版本

- JamVM

- JSR292:叫用 Dynamic

- sun.misc.Unsafe:其他方法 get/putAddress:
允許 JamVM with OpenJDK 7/8 執行 JEdit 的最新版本。

- FreeClassData:調整 Miranda 方法的方法計數

- 修補程式變更 (多數與 Fedora 同步)

- 移除 java-1.7.0-openjdk-arm-fixes.patch,其已在上游修正

- 移除 java-1.7.0-openjdk-fork.patch,其已在上游修正

- 將 java-1.7.0-openjdk-bitmap.patch 重新命名為 zero-s8024914.patch

- 將 java-1.7.0-openjdk-size_t.patch 重新命名為 zero-size_t.patch

- 新增 PStack-808293.patch

- 新增 RH661505-toBeReverted.patch

- 新增 abrt_friendly_hs_log_jdk7.patch

- 新增 gstackbounds.patch

- 新增 java-1.7.0-openjdk-freetype-check-fix.patch

- 新增 pulse-soundproperties.patch

- 新增 rhino.patch

- 新增 zero-entry_frame_call_wrapper.patch

- 新增 zero-gcdrainstacktargetsize.patch

- 新增 zero-zero_build.patch

解決方案

更新受影響的 java-1_7_0-openjdk 套件。

另請參閱

https://bugzilla.novell.com/show_bug.cgi?id=846999

https://lists.opensuse.org/opensuse-updates/2013-11/msg00023.html

Plugin 詳細資訊

嚴重性: Critical

ID: 75196

檔案名稱: openSUSE-2013-847.nasl

版本: 1.4

類型: local

代理程式: unix

已發布: 2014/6/13

已更新: 2021/1/19

支援的感應器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.5

CVSS v2

風險因素: Critical

基本分數: 10

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

弱點資訊

CPE: p-cpe:/a:novell:opensuse:java-1_7_0-openjdk, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-debugsource, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-demo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-demo-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-devel, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-devel-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-javadoc, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-src, cpe:/o:novell:opensuse:12.2, cpe:/o:novell:opensuse:12.3

必要的 KB 項目: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

修補程式發佈日期: 2013/10/30

參考資訊

CVE: CVE-2013-3829, CVE-2013-4002, CVE-2013-5772, CVE-2013-5774, CVE-2013-5778, CVE-2013-5780, CVE-2013-5782, CVE-2013-5783, CVE-2013-5784, CVE-2013-5790, CVE-2013-5797, CVE-2013-5800, CVE-2013-5802, CVE-2013-5803, CVE-2013-5804, CVE-2013-5805, CVE-2013-5806, CVE-2013-5809, CVE-2013-5814, CVE-2013-5817, CVE-2013-5820, CVE-2013-5823, CVE-2013-5825, CVE-2013-5829, CVE-2013-5830, CVE-2013-5840, CVE-2013-5842, CVE-2013-5849, CVE-2013-5850, CVE-2013-5851