Mandriva Linux 安全性公告:java-1.7.0-openjdk (MDVSA-2015:212)
critical Nessus Plugin ID 83104
語系:
概要
遠端 Mandriva Linux 主機缺少一或多個安全性更新。描述
更新版 java-1.7.0 套件可修正安全性弱點:在 OpenJDK 之 2D 元件的字型剖析程式碼中,發現一個可導致緩衝區溢位的差一瑕疵。特製的字型檔案可能導致 Java 虛擬機器執行任意程式碼,從而允許未受信任的 Java 應用程式或 applet 繞過 Java Sandbox 限制 (CVE-2015-0469)。
在 OpenJDK 的 Hotspot 元件處理虛設參照的方式中發現一個瑕疵。未受信任的 Java 應用程式或 applet 可利用此瑕疵損毀 Java 虛擬機器記憶體,且可能執行任意程式碼而繞過 Java Sandbox 限制 (CVE-2015-0460)。
在 OpenJDK 的 JSSE 元件剖析 X.509 憑證選項的方式中發現一個瑕疵。特製的憑證可造成 JSSE 引發例外狀況,進而可能造成使用 JSSE 的應用程式意外結束 (CVE-2015-0488)。
在 OpenJDK 的 Beans 元件中發現一個瑕疵。未受信任的 Java 應用程式或 applet 可利用此瑕疵繞過特定 Java Sandbox 限制 (CVE-2015-0477)。
在 jar 工具擷取 JAR 封存檔案的方式中,發現一個目錄遊走瑕疵。特製的 JAR 封存可在擷取封存時,造成 jar 覆寫使用者執行 jar 時可寫入的任意檔案 (CVE-2005-1080、CVE-2015-0480)。
據發現,在 OpenJDK 的 JCE 元件中,RSA 實作未遵循建議的 RSA 簽章實作作法 (CVE-2015-0478)。
解決方案
更新受影響的套件。另請參閱
Plugin 詳細資訊
嚴重性: Critical
ID: 83104
檔案名稱: mandriva_MDVSA-2015-212.nasl
版本: 2.4
類型: local
發布日期: 2015/4/28
更新日期: 2021/1/14
風險資訊
VPR
風險因素: High
分數: 7.3
CVSS v2
風險因素: Critical
基本分數: 10
時間分數: 8.7
媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
弱點資訊
CPE: p-cpe:/a:mandriva:linux:java-1.7.0-openjdk, p-cpe:/a:mandriva:linux:java-1.7.0-openjdk-accessibility, p-cpe:/a:mandriva:linux:java-1.7.0-openjdk-demo, p-cpe:/a:mandriva:linux:java-1.7.0-openjdk-devel, p-cpe:/a:mandriva:linux:java-1.7.0-openjdk-headless, p-cpe:/a:mandriva:linux:java-1.7.0-openjdk-javadoc, p-cpe:/a:mandriva:linux:java-1.7.0-openjdk-src, cpe:/o:mandriva:business_server:1
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2015/4/27
參考資訊
CVE: CVE-2005-1080, CVE-2015-0460, CVE-2015-0469, CVE-2015-0477, CVE-2015-0478, CVE-2015-0480, CVE-2015-0488
BID: 13083, 74072, 74097, 74104, 74111, 74119, 74147
MDVSA: 2015:212