SUSE SLES11 安全性更新:java-1_7_0-ibm (SUSE-SU-2015:1375-1) (Bar Mitzvah) (Logjam)

low Nessus Plugin ID 85379
新推出!Plugin 嚴重性目前使用 CVSS v3

計算 Plugin 嚴重性已更新為預設使用 CVSS v3 沒有 CVSS v3 評分的 Plugin 會回歸到以 CVSS v2 計算嚴重性。您可在設定下拉式選單中切換顯示嚴重性的喜好設定

Synopsis

遠端 SUSE 主機缺少一個或多個安全性更新。

描述

java-1_7_0-ibm 已更新,修正了 21 個安全性問題。

已修正這些安全性問題:

- CVE-2015-4729:Oracle Java SE 7u80 和 8u45 中有一個不明弱點,會讓遠端攻擊者透過與部署相關的未知向量,影響機密性和完整性 (bsc#938895)。

- CVE-2015-4748:Oracle Java SE 6u95、7u80 和 8u45;JRockit R28.3.6;以及 Java SE Embedded 7u75 和 Embedded 8u33 中有一個不明弱點,會讓遠端攻擊者透過與安全性相關的未知向量,影響機密性、完整性和可用性 (bsc#938895)。

- CVE-2015-2664:Oracle Java SE 6u95、7u80 和 8u45 中有一個不明弱點,會讓本機使用者透過與部署相關的未知向量,影響機密性、完整性和可用性 (bsc#938895)。

- CVE-2015-0192:SR1 之前的 IBM Java 8、SR2 FP11 之前的 7 R1、SR9 之前的 7、SR8 FP4 之前的 6 R1、SR16 FP4 之前的 6 以及 SR16 FP10 之前的 5.0 中有一個不明弱點,會讓遠端攻擊者透過與 Java 虛擬機器相關的未知向量取得權限 (bsc#938895)。

- CVE-2015-2613:Oracle Java SE 7u80 和 8u45,以及 Java SE Embedded 7u75 和 8u33 中有一個不明弱點,會讓遠端攻擊者透過與 JCE 相關的向量,影響機密性 (bsc#938895)。

- CVE-2015-4731:Oracle Java SE 6u95、7u80 和 8u45;Java SE Embedded 7u75;以及 Java SE Embedded 8u33 中有不明弱點,會讓遠端攻擊者透過與 JMX 有關的向量影響機密性、完整性和可用性 (bsc#938895)。

- CVE-2015-2637:Oracle Java SE 6u95、7u80 和 8u45;JavaFX 2.2.80;以及 Java SE Embedded 7u75 和 8u33 中有一個不明弱點,會讓遠端攻擊者透過與 2D 相關的未知向量,影響機密性 (bsc#938895)。

- CVE-2015-4733:Oracle Java SE 6u95、7u80 和 8u45,以及 Java SE Embedded 7u75 和 8u33 中有不明弱點,會讓遠端攻擊者透過與 RMI 有關的向量影響機密性、完整性和可用性 (bsc#938895)。

- CVE-2015-4732:Oracle Java SE 6u95、7u80 和 8u45,以及 Java SE Embedded 7u75 和 8u33 中有一個不明弱點,會允許遠端攻擊者透過與 Libraries 有關的未知向量,影響機密性、完整性和可用性;該弱點與 CVE-2015-2590 不同 (bsc#938895)。

- CVE-2015-2621:Oracle Java SE 6u95、7u80 和 8u45,以及 Java SE Embedded 7u75 和 8u33 中有一個不明弱點,會讓遠端攻擊者透過與 JMX 相關的向量,影響機密性 (bsc#938895)。

- CVE-2015-2619:Oracle Java SE 7u80 和 8u45、JavaFX 2.2.80 以及 Java SE Embedded 7u75 和 8u33 中有一個不明弱點,會讓遠端攻擊者透過與 2D 相關的未知向量,影響機密性 (bsc#938895)。

- CVE-2015-2590:Oracle Java SE 6u95、7u80 和 8u45,以及 Java SE Embedded 7u75 和 8u33 中有一個不明弱點,會允許遠端攻擊者透過與 Libraries 有關的未知向量,影響機密性、完整性和可用性;該弱點與 CVE-2015-4732 不同 (bsc#938895)。

- CVE-2015-2638:Oracle Java SE 6u95、7u80 和 8u45;JavaFX 2.2.80;以及 Java SE Embedded 7u75 和 8u33 中有一個不明弱點,會讓遠端攻擊者透過與 2D 相關的未知向量,影響機密性、完整性和可用性 (bsc#938895)。

- CVE-2015-2625:Oracle Java SE 6u95、7u80 和 8u45;JRockit R28.3.6;以及 Java SE Embedded 7u75 和 8u33 中有一個不明弱點,會讓遠端攻擊者透過與 JSSE 相關的向量,影響機密性 (bsc#938895)。

- CVE-2015-2632:Oracle Java SE 6u95、7u80 和 8u45 中有一個不明弱點,會讓遠端攻擊者透過與 2D 相關的未知向量,影響機密性 (bsc#938895)。

- CVE-2015-1931:不明弱點 (bsc#938895)。

- CVE-2015-4760:Oracle Java SE 6u95、7u80 和 8u45 中有一個不明弱點,會讓遠端攻擊者透過與 2D 相關的未知向量,影響機密性、完整性和可用性 (bsc#938895)。

- CVE-2015-4000:當伺服器上已啟用 DHE_EXPORT 加密套件,但用戶端上未啟用時,TLS 通訊協定 1.2 及更舊版本未正確傳遞 DHE_EXPORT 選擇,這會允許攔截式攻擊者藉由以 DHE_EXPORT 取代 DHE 來重寫 ClientHello,然後以 DHE 取代 DHE_EXPORT 來重寫 ServerHello,進而發動密碼降級攻擊,亦即「Logjam」問題 (bsc#935540)。

- CVE-2015-2601:Oracle Java SE 6u95、7u80 和 8u45、JRockit R28.3.6 以及 Java SE Embedded 7u75 和 8u33 中有一個不明弱點,會讓遠端攻擊者透過與 JCE 相關的向量,影響機密性 (bsc#938895)。

- CVE-2015-2808:在 TLS 通訊協定和 SSL 通訊協定中所使用的 RC4 演算法,未在初始化階段正確結合狀態資料和金鑰資料,會讓遠端攻擊者更容易透過竊聽網路流量 (有時依賴受不變弱點影響的金鑰),然後使用暴力密碼破解方法 (涉及 LSB 值),對資料流的初始位元組發動純文字復原攻擊,即 'Bar Mitzvah' 問題 (bsc#938895)。

- CVE-2015-4749:Oracle Java SE 6u95、7u80 和 8u45;JRockit R28.3.6;以及 Java SE Embedded 7u75 和 8u33 中有一個不明弱點,會讓遠端攻擊者透過與 JNDI 相關的向量,影響可用性 (bsc#938895)。

請注意,Tenable Network Security 已直接從 SUSE 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下,嘗試自動清理並將其格式化。

解決方案

若要安裝此 SUSE 安全性更新,請使用 YaST online_update。
或者,也可以執行針對您的產品所列的命令:

SUSE Linux Enterprise Software Development Kit 11-SP3:

zypper in -t patch sdksp3-java-1_7_0-ibm-12026=1

SUSE Linux Enterprise Server for VMWare 11-SP3:

zypper in -t patch slessp3-java-1_7_0-ibm-12026=1

SUSE Linux Enterprise Server 11-SP3:

zypper in -t patch slessp3-java-1_7_0-ibm-12026=1

SUSE Linux Enterprise Server 11-SP2-LTSS:

zypper in -t patch slessp2-java-1_7_0-ibm-12026=1

若要使您的系統保持在最新狀態,請使用「zypper 修補程式」。

另請參閱

https://bugzilla.suse.com/show_bug.cgi?id=935540

https://bugzilla.suse.com/show_bug.cgi?id=938895

https://www.suse.com/security/cve/CVE-2015-0192/

https://www.suse.com/security/cve/CVE-2015-1931/

https://www.suse.com/security/cve/CVE-2015-2590/

https://www.suse.com/security/cve/CVE-2015-2601/

https://www.suse.com/security/cve/CVE-2015-2613/

https://www.suse.com/security/cve/CVE-2015-2619/

https://www.suse.com/security/cve/CVE-2015-2621/

https://www.suse.com/security/cve/CVE-2015-2625/

https://www.suse.com/security/cve/CVE-2015-2632/

https://www.suse.com/security/cve/CVE-2015-2637/

https://www.suse.com/security/cve/CVE-2015-2638/

https://www.suse.com/security/cve/CVE-2015-2664/

https://www.suse.com/security/cve/CVE-2015-2808/

https://www.suse.com/security/cve/CVE-2015-4000/

https://www.suse.com/security/cve/CVE-2015-4729/

https://www.suse.com/security/cve/CVE-2015-4731/

https://www.suse.com/security/cve/CVE-2015-4732/

https://www.suse.com/security/cve/CVE-2015-4733/

https://www.suse.com/security/cve/CVE-2015-4748/

https://www.suse.com/security/cve/CVE-2015-4749/

https://www.suse.com/security/cve/CVE-2015-4760/

http://www.nessus.org/u?ebe10888

Plugin 詳細資訊

嚴重性: Low

ID: 85379

檔案名稱: suse_SU-2015-1375-1.nasl

版本: 2.14

類型: local

代理程式: unix

已發布: 2015/8/13

已更新: 2021/1/19

相依性: ssh_get_info.nasl

風險資訊

VPR

風險因素: Critical

分數: 9

CVSS v2

風險因素: Critical

基本分數: 10

時間分數: 8.7

媒介: AV:N/AC:L/Au:N/C:C/I:C/A:C

時間媒介: E:H/RL:OF/RC:C

CVSS v3

風險因素: Low

基本分數: 3.7

時間分數: 3.6

媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N

時間媒介: E:H/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:novell:suse_linux:java-1_7_0-ibm, p-cpe:/a:novell:suse_linux:java-1_7_0-ibm-alsa, p-cpe:/a:novell:suse_linux:java-1_7_0-ibm-devel, p-cpe:/a:novell:suse_linux:java-1_7_0-ibm-jdbc, p-cpe:/a:novell:suse_linux:java-1_7_0-ibm-plugin, cpe:/o:novell:suse_linux:11

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2015/7/31

弱點發布日期: 2015/3/31

參考資訊

CVE: CVE-2015-0192, CVE-2015-1931, CVE-2015-2590, CVE-2015-2601, CVE-2015-2613, CVE-2015-2619, CVE-2015-2621, CVE-2015-2625, CVE-2015-2632, CVE-2015-2637, CVE-2015-2638, CVE-2015-2664, CVE-2015-2808, CVE-2015-4000, CVE-2015-4729, CVE-2015-4731, CVE-2015-4732, CVE-2015-4733, CVE-2015-4748, CVE-2015-4749, CVE-2015-4760

BID: 73684, 74545, 74733, 75784, 75812, 75818, 75823, 75832, 75833, 75854, 75857, 75861, 75867, 75871, 75874, 75881, 75883, 75890, 75892, 75895, 75985