Mandriva Linux 安全性公告:java-1.7.0-openjdk (MDVSA-2015:212)

critical Nessus Plugin ID 83104

Synopsis

遠端 Mandriva Linux 主機缺少一或多個安全性更新。

描述

更新版 java-1.7.0 套件可修正安全性弱點:

在 OpenJDK 之 2D 元件的字型剖析程式碼中,發現一個可導致緩衝區溢位的差一瑕疵。特製的字型檔案可能導致 Java 虛擬機器執行任意程式碼,從而允許未受信任的 Java 應用程式或 applet 繞過 Java Sandbox 限制 (CVE-2015-0469)。

在 OpenJDK 的 Hotspot 元件處理虛設參照的方式中發現一個瑕疵。未受信任的 Java 應用程式或 applet 可利用此瑕疵損毀 Java 虛擬機器記憶體,且可能執行任意程式碼而繞過 Java Sandbox 限制 (CVE-2015-0460)。

在 OpenJDK 的 JSSE 元件剖析 X.509 憑證選項的方式中發現一個瑕疵。特製的憑證可造成 JSSE 引發例外狀況,進而可能造成使用 JSSE 的應用程式意外結束 (CVE-2015-0488)。

在 OpenJDK 的 Beans 元件中發現一個瑕疵。未受信任的 Java 應用程式或 applet 可利用此瑕疵繞過特定 Java Sandbox 限制 (CVE-2015-0477)。

在 jar 工具擷取 JAR 封存檔案的方式中,發現一個目錄遊走瑕疵。特製的 JAR 封存可在擷取封存時,造成 jar 覆寫使用者執行 jar 時可寫入的任意檔案 (CVE-2005-1080、CVE-2015-0480)。

據發現,在 OpenJDK 的 JCE 元件中,RSA 實作未遵循建議的 RSA 簽章實作作法 (CVE-2015-0478)。

解決方案

更新受影響的套件。

另請參閱

http://advisories.mageia.org/MGASA-2015-0158.html

Plugin 詳細資訊

嚴重性: Critical

ID: 83104

檔案名稱: mandriva_MDVSA-2015-212.nasl

版本: 2.4

類型: local

已發布: 2015/4/28

已更新: 2021/1/14

風險資訊

VPR

風險因素: Medium

分數: 6.5

CVSS v2

風險因素: Critical

基本分數: 10

時間分數: 8.7

媒介: AV:N/AC:L/Au:N/C:C/I:C/A:C

時間媒介: E:ND/RL:OF/RC:C

弱點資訊

CPE: p-cpe:/a:mandriva:linux:java-1.7.0-openjdk, p-cpe:/a:mandriva:linux:java-1.7.0-openjdk-accessibility, p-cpe:/a:mandriva:linux:java-1.7.0-openjdk-demo, p-cpe:/a:mandriva:linux:java-1.7.0-openjdk-devel, p-cpe:/a:mandriva:linux:java-1.7.0-openjdk-headless, p-cpe:/a:mandriva:linux:java-1.7.0-openjdk-javadoc, p-cpe:/a:mandriva:linux:java-1.7.0-openjdk-src, cpe:/o:mandriva:business_server:1

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2015/4/27

參考資訊

CVE: CVE-2005-1080, CVE-2015-0460, CVE-2015-0469, CVE-2015-0477, CVE-2015-0478, CVE-2015-0480, CVE-2015-0488

BID: 13083, 74072, 74097, 74104, 74111, 74119, 74147

MDVSA: 2015:212