偵測

openSUSE 安全性更新:icedtea-web (openSUSE-2015-602)

medium Nessus Plugin ID 86094

語系:

概要

遠端 openSUSE 主機缺少安全性更新。

說明

icedtea-web java 外掛程式已更新至 1.6.1。

變更包括:

- 已啟用進入點屬性檢查

- 權限沙箱和具有所有權限的已簽署/未簽署應用程式目前都在沙箱中執行,而非完全不執行。

- 已修正 DownloadService

- deployment.properties 中的註解現應持續載入/儲存

- 已修正快取查詢檔案過程中的錯誤

- 已修正重新建立既有捷徑的問題

- trustAll/trustNone 已可正確處理

- headless 不再顯示對話方塊

- RH1231441 無法讀取安全性對話方塊的按鈕文字

- 已修正 RH1233697 icedtea-web:applet 來源偽造 (CVE-2015-5235、bsc#944208)

- 已修正 RH1233667 icedtea-web:未簽署 applet 的非預期永久性授權 (CVE-2015-5234、bsc#944209)

- MissingALACAdialog 也可用於未簽署的應用程式 (但是會忽略實際的資訊清單值) 且已修正

- NetX

- 已修正 -html 捷徑的問題

- 已修正以 -html 接收記憶體之寬度與高度的問題

- PolicyEditor

- 獨立使用檔案旗標時,可正常運作

- 檔案旗標和主要引數無法一起使用

- 修正部分「tail」版本的手冊頁產生

亦包括 1.6 版的更新

- 已大幅提升離線功能。新增 Xoffline 開關,可在無 inet 連線時強制運作。

- 已改善,現在能聯合任何 JDK 一起執行

- 不再支援 JDK 6 和更早版本

- 已新增 JDK 8 支援 (授予 URLPermission,若適用)

- 已支援 JDK 9

- 已新增對進入點資訊清單屬性的支援

- 已將 KEY_ENABLE_MANIFEST_ATTRIBUTES_CHECK 部署內容新增至資訊清單檔案的控制掃描

- 啟動引數現亦可接受縮寫

- 已新增新文件

- 已新增對功能表捷徑的支援 - 同時支援 javaws 應用程式/applet 和 html applet

- 已新增對 javaws 之 -html 切換的支援。現在無需瀏覽器就可執行多數 applet

- 控制面板

- PR1856:針對較低的解析度 (800*600) 改善 ControlPanel UI

- NetX

- PR1858:Java Console 接受多位元組編碼

- PR1859:針對較低的解析度 (800*600) 改善 Java Console UI

- RH1091563:[abrt] icedtea-web-1.5-2.fc20:無法攔截 sun.applet.PluginAppletViewer$8.run() 方法中的 java.lang.ClassCastException 例外狀況

- 已停止對久未維護之 -basedir 引數的支援

- 已恢復對 -jnlp 引數的支援

- RH1095311、PR574 - 已移除 OpenJDK 9 中的 sun.misc.Ref 參照類別 - 已修正,現可構建在 JDK9 上

- 外掛程式

- PR1743 - PluginRequestProcessor 中的間歇性鎖死

- PR1298 - LiveConnect - JS 的問題設定陣列元素 (applet 變數)

- RH1121549:coverity 缺失

- 以超級類別階層距離正確解決方法過載的問題

- PolicyEditor

- 程式碼基底可就地重新命名、複製及貼上

- 可將程式碼基底 URL 複製到系統剪貼簿

- 開啟或儲存檔案時,顯示進度對話方塊

- 在任何情況下均可將未指派權限的程式碼基底儲存至檔案 (並且於下次開啟時再次出現)

- PR1776:save-and-exit 上的 Null 指標

- PR1850:從安全性對話方塊啟動時,複製程式碼基底

- 先前按一下「離開前先儲存」對話方塊中的 [取消] 可能導致未儲存變更即離開編輯器,現在這個錯誤已得到修正

- 已大幅改善鍵盤加速器和助憶鍵

- 'File - New' 允許在未選取欲儲存之檔案的情況下編輯新原則

- 通用

- PR1769:支援已簽署的 applet,該 applet 於其資訊清單中指明沙箱權限

- 現已可選取多個安全性對話方塊中的暫時性權限,且是以 PolicyEditor 權限為基礎

- 1.5.2 的更新

- NetX

- RH1095311、PR574 - 已移除 OpenJDK 9 中的 sun.misc.Ref 參照類別 - 已修正,現可構建在 JDK9 上

- RH1154177 - 需要快取中的已解碼檔案

- 已修正 https 對話方塊中的 NPE

- 空白的程式碼基底如「.」般運作

解決方案

更新受影響的 icedtea-web 套件。

另請參閱

https://bugzilla.opensuse.org/show_bug.cgi?id=755054

https://bugzilla.opensuse.org/show_bug.cgi?id=830880

https://bugzilla.opensuse.org/show_bug.cgi?id=944208

https://bugzilla.opensuse.org/show_bug.cgi?id=944209

Plugin 詳細資訊

嚴重性: Medium

ID: 86094

檔案名稱: openSUSE-2015-602.nasl

版本: 2.3

類型: local

代理程式: unix

已發布: 2015/9/23

已更新: 2021/1/19

支援的感應器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: Medium

基本分數: 6.8

媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

弱點資訊

CPE: p-cpe:/a:novell:opensuse:icedtea-web, p-cpe:/a:novell:opensuse:icedtea-web-debuginfo, p-cpe:/a:novell:opensuse:icedtea-web-debugsource, p-cpe:/a:novell:opensuse:icedtea-web-javadoc, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-plugin, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-plugin-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-plugin-debugsource, p-cpe:/a:novell:opensuse:java-1_8_0-openjdk-plugin, p-cpe:/a:novell:opensuse:java-1_8_0-openjdk-plugin-debuginfo, p-cpe:/a:novell:opensuse:java-1_8_0-openjdk-plugin-debugsource, cpe:/o:novell:opensuse:13.1, cpe:/o:novell:opensuse:13.2

必要的 KB 項目: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

修補程式發佈日期: 2015/9/15

參考資訊

CVE: CVE-2012-4540, CVE-2015-5234, CVE-2015-5235