openSUSE 安全性更新:java-1_7_0-openjdk (openSUSE-SU-2014:0180-1)

critical Nessus Plugin ID 75414

Synopsis

遠端 openSUSE 主機缺少安全性更新。

描述

- 修正 -devel 和 -headless 套件之間的檔案衝突

- 2.4.4 的更新 (bnc#858818)

- 無法在更新期間首次將 xz 變更為 gzipped tarball

- 因版本管理員變更新版套件檔案而變更 keyring 檔案已由 66484681 from [email protected] 進行簽署,請參閱 http://mail.openjdk.java.net/pipermail/distro-pkg-dev/2014-January/025800.html

- 安全性修正:

- S6727821:增強 JAAS 組態

- S7068126、CVE-2014-0373:增強 SNMP 狀態

- S8010935:改善 XML 處理

- S8011786、CVE-2014-0368:改善 applet 網路功能

- S8021257、S8025022、CVE-2013-5896:com.sun.corba.se.** 應位於受限套件清單

- S8021271、S8021266、CVE-2014-0408:改善 ObjC 程式碼中的緩衝處理

- S8022904:增強 JDBC 剖析器

- S8022927:位元組/端末轉換的輸入驗證

- S8022935:增強 Apache 解析器類別

- S8022945:增強 JNDI 實作類別

- S8023057:增強啟動影像顯示

- S8023069、CVE-2014-0411:增強 TLS 連線

- S8023245、CVE-2014-0423:增強 Beans 解碼

- S8023301:增強泛型類別

- S8023338:更新 jarsigner 以鼓勵進行時間戳記

- S8023672:增強 jar 檔案驗證

- S8024302:闡明 jar 驗證

- S8024306、CVE-2014-0416:增強主體一致性

- S8024530:增強字型處理程序彈性

- S8024867:增強記錄啟動

- S8025014:增強安全性原則

- S8025018、CVE-2014-0376:增強 JAX-P 設定

- S8025026、CVE-2013-5878:增強標準化

- S8025034、CVE-2013-5907:改善配置查閱

- S8025448:增強接聽事件

- S8025758、CVE-2014-0422:增強命名管理

- S8025767、CVE-2014-0428:增強 IIOP 資料流

- S8026172:增強 UI 管理

- S8026176:增強文件列印

- S8026193、CVE-2013-5884:增強 CORBA 虛設常式中心

- S8026204:增強驗證登入內容

- S8026417、CVE-2013-5910:增強 XML 標準化

- S8026502:java/lang/invoke/MethodHandleConstants.java 在所有平台上發生失敗

- S8027201、CVE-2014-0376:增強 JAX-P 設定

- S8029507、CVE-2013-5893:增強 JVM 方法處理

- S8029533:迴歸:
針對下列項目,closed/java/lang/invoke/8008140/Test8008140.java 失敗

- 反向移植

- S8025255:(tz) 支援 tzdata2013g

- S8026826:8010935 的 JDK 7 修正使版本損毀

- 錯誤修正

- PR1618:包括 vm.make 中的 defs.make。因此,得以定義零版本上的 VM_LITTLE_ENDIAN

- D729448:在 mips 和 mipsel 上進行 32 位元對齊

- PR1623:使用 OpenJDK 6 啟動程序時,OpenJDK 6 和 7 類別之間發生衝突

- 新增 update.py、協助程式指令碼,以從 hg repo 下載 openjdk tarballs

- Buildrequire 無條件摘錄,因為它無條件被使用。

- 實際停用非 JIT 架構上的測試。(來自 Ulrich Weigand)

- 新增不需要 X 和 pulse/alsa 的無周邊子套件

- 將存取性新增到額外的子套件,其需要新的 java-atk-wrapper 套件

- 已移除 java-1.7.0-openjdk-java-access-bridge-idlj.patch

- 已移除 java-1.7.0-openjdk-java-access-bridge-tck.patch

- 已移除 java-access-bridge-1.26.2.tar.bz2

- 已重新整理

- java-1.7.0-openjdk-java-access-bridge-security.patch

- 為與測試一同使用的執行中測試新增支援

- 在非 jit 架構上,這會被忽略

- 偏好全域定義,因為 bcond_with 已經使用該定義

- 向前宣告 aarch64 arch 巨集

- 對 arm 和 aarch64 定義 archbuild/archinstall 巨集

- 藉由使用檔案清單中的巨集,來移除一些 ifarch 條件

- 在啟動程序模式下需要 ecj-bootstrap (由 mmatz 所記述)

- 不在啟動程序模式下安裝 vim 和 quilt

- 啟動程序模式的一些增強功能

- 可與啟動程序搭配使用的 wia

- 停用 docs、javadoc 套件

- 修正啟動程序上的設定引數

- 將未建立版本的 SDK 目錄連結新增至 -devel 套件的檔案清單 (修正來自 %post 的更新別名)。

- 僅利用 gcj (直接使用內含的 ecj) 新增對啟動程序的支援。增加 powerpc 的堆疊大小 (修改 java-1.7.0-openjdk-ppc-zero-jdk.patch)。新增對 ppc64le 的支援。

- 修正 powerpc 的堆疊溢位 (java-1_7_0-openjdk-ppc-stackoverflow.patch)

解決方案

更新受影響的 java-1_7_0-openjdk 套件。

另請參閱

http://www.nessus.org/u?3c8576e2

https://bugzilla.novell.com/show_bug.cgi?id=858818

https://lists.opensuse.org/opensuse-updates/2014-02/msg00000.html

Plugin 詳細資訊

嚴重性: Critical

ID: 75414

檔案名稱: openSUSE-2014-96.nasl

版本: 1.5

類型: local

代理程式: unix

已發布: 2014/6/13

已更新: 2021/1/19

支持的傳感器: Nessus Agent

風險資訊

VPR

風險因素: Medium

分數: 6.5

CVSS v2

風險因素: Critical

基本分數: 10

媒介: AV:N/AC:L/Au:N/C:C/I:C/A:C

弱點資訊

CPE: p-cpe:/a:novell:opensuse:java-1_7_0-openjdk, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-accessibility, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-debugsource, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-demo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-demo-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-devel, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-devel-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-headless, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-headless-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-javadoc, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-src, cpe:/o:novell:opensuse:12.3

必要的 KB 項目: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

修補程式發佈日期: 2014/1/22

參考資訊

CVE: CVE-2013-5878, CVE-2013-5884, CVE-2013-5893, CVE-2013-5896, CVE-2013-5907, CVE-2013-5910, CVE-2014-0368, CVE-2014-0373, CVE-2014-0376, CVE-2014-0408, CVE-2014-0411, CVE-2014-0416, CVE-2014-0422, CVE-2014-0423, CVE-2014-0428