Mandriva Linux 安全性公告:java-1.7.0-openjdk (MDVSA-2014:209)
medium Nessus Plugin ID 78688
語系:
概要
遠端 Mandriva Linux 主機缺少一或多個安全性更新。說明
在 java-1.7.0-openjdk 中發現多個弱點且已更正:在 OpenJDK 的 Libraries、2D 和 Hotspot 元件中發現多個瑕疵。未受信任的 Java 應用程式或 applet 可利用這些瑕疵來繞過特定 Java Sandbox 限制 (CVE-2014-6506、CVE-2014-6531、CVE-2014-6502、CVE-2014-6511、CVE-2014-6504、CVE-2014-6519)。
據發現,在 OpenJDK 的 JAXP 元件中,StAX XML 剖析器會執行外部參數實體擴充,甚至在外部實體替換停用時亦是如此。遠端攻擊者可利用此瑕疵,對使用 StAX 剖析器剖析未受信任之 XML 文件的應用程式執行 XML 外部實體 (XXE) 攻擊 (CVE-2014-6517)。
據發現,OpenJDK 中的 DatagramSocket 實作無法對已連線通訊端上接收到的封包執行來源位址檢查。遠端攻擊者可利用此瑕疵,使其封包如同從預期來源收到般進行處理 (CVE-2014-6512)。
據發現,在 OpenJDK 的 JSSE 元件中,TLS/SSL 實作在工作階段恢復後的重新交涉期間,無法正確驗證伺服器身分,可讓惡意的 TLS/SSL 伺服器對使用 JSSE 和用戶端憑證驗證的用戶端執行三重交握攻擊 (CVE-2014-6457)。
據發現,OpenJDK 中的 CipherInputStream 類別實作並未正確處理特定例外狀況。這可能允許攻擊者影響此類別處理的加密資料流完整性 (CVE-2014-6558)。
更新版套件會提供這些安全性問題的解決方案。
解決方案
更新受影響的套件。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 78688
檔案名稱: mandriva_MDVSA-2014-209.nasl
版本: 1.6
類型: local
已發布: 2014/10/27
已更新: 2021/1/6
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 4.7
CVSS v2
風險因素: Medium
基本分數: 6.8
時間分數: 5.9
媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
弱點資訊
CPE: p-cpe:/a:mandriva:linux:java-1.7.0-openjdk, p-cpe:/a:mandriva:linux:java-1.7.0-openjdk-accessibility, p-cpe:/a:mandriva:linux:java-1.7.0-openjdk-demo, p-cpe:/a:mandriva:linux:java-1.7.0-openjdk-devel, p-cpe:/a:mandriva:linux:java-1.7.0-openjdk-headless, p-cpe:/a:mandriva:linux:java-1.7.0-openjdk-javadoc, p-cpe:/a:mandriva:linux:java-1.7.0-openjdk-src, cpe:/o:mandriva:business_server:1
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2014/10/24
參考資訊
CVE: CVE-2014-6457, CVE-2014-6502, CVE-2014-6504, CVE-2014-6506, CVE-2014-6511, CVE-2014-6512, CVE-2014-6517, CVE-2014-6519, CVE-2014-6531, CVE-2014-6558
BID: 70533, 70538, 70544, 70548, 70552, 70556, 70564, 70567, 70570, 70572
MDVSA: 2014:209