概要
遠端 SUSE 主機缺少一個或多個安全性更新。
說明
Java IcedTea-Web 外掛程式已更新至 1.6.1 版,提供了多種功能、錯誤和安全性修正。
- 已啟用進入點屬性檢查
- 權限沙箱和具有所有權限的已簽署/未簽署應用程式目前都在沙箱中執行,而非完全不執行。
- 已修正 DownloadService
- deployment.properties 中的註解現應持續載入/儲存
- 已修正快取查詢檔案過程中的錯誤
- 已修正重新建立既有捷徑的問題
- trustAll/trustNone 已可正確處理
- headless 不再顯示對話方塊
- RH1231441 無法讀取安全性對話方塊的按鈕文字
- 已修正 RH1233697 icedtea-web:applet 來源偽造 (CVE-2015-5235、bsc#944208)
- 已修正 RH1233667 icedtea-web:未簽署 applet 的非預期永久性授權 (CVE-2015-5234、bsc#944209)
- MissingALACAdialog 也可用於未簽署的應用程式 (但是會忽略實際的資訊清單值) 且已修正
- NetX
- 已修正 -html 捷徑的問題
- 已修正以 -html 接收記憶體之寬度與高度的問題
- PolicyEditor
- 獨立使用檔案旗標時,可正常運作
- 檔案旗標和主要引數無法一起使用
已包含 1.6 的更新且提供:
- 已大幅提升離線功能。新增 Xoffline 開關,可在無 inet 連線時強制運作。
- 已改善,現在能聯合任何 JDK 一起執行
- 不再支援 JDK 6 和更早版本
- 已新增 JDK 8 支援 (授予 URLPermission,若適用)
- 已支援 JDK 9
- 已新增對進入點資訊清單屬性的支援
- 已將 KEY_ENABLE_MANIFEST_ATTRIBUTES_CHECK 部署內容新增至資訊清單檔案的控制掃描
- 啟動引數現亦可接受縮寫
- 已新增新文件
- 已新增對功能表捷徑的支援 - 同時支援 javaws 應用程式/applet 和 html applet
- 已新增對 javaws 之 -html 切換的支援。現在無需瀏覽器就可執行多數 applet
- 控制面板
- PR1856:針對較低的解析度 (800*600) 改善 ControlPanel UI
- NetX
- PR1858:Java Console 接受多位元組編碼
- PR1859:針對較低的解析度 (800*600) 改善 Java Console UI
- RH1091563:[abrt] icedtea-web-1.5-2.fc20:無法攔截 sun.applet.PluginAppletViewer$8.run() 方法中的 java.lang.ClassCastException 例外狀況
- 已停止對久未維護之 -basedir 引數的支援
- 已恢復對 -jnlp 引數的支援
- RH1095311、PR574 - 已移除 OpenJDK 9 中的 sun.misc.Ref 參照類別
- 已修正,現可構建在 JDK9 上
- 外掛程式
- PR1743 - PluginRequestProcessor 中的間歇性鎖死
- PR1298 - LiveConnect - JS 的問題設定陣列元素 (applet 變數)
- RH1121549:coverity 缺失
- 以超級類別階層距離正確解決方法過載的問題
- PolicyEditor
- 程式碼基底可就地重新命名、複製及貼上
- 可將程式碼基底 URL 複製到系統剪貼簿
- 開啟或儲存檔案時,顯示進度對話方塊
- 在任何情況下均可將未指派權限的程式碼基底儲存至檔案 (並且於下次開啟時再次出現)
- PR1776:save-and-exit 上的 Null 指標
- PR1850:從安全性對話方塊啟動時,複製程式碼基底
- 先前按一下「離開前先儲存」對話方塊中的 [取消] 可能導致未儲存變更即離開編輯器,現在這個錯誤已得到修正
- 已大幅改善鍵盤加速器和助憶鍵
- 'File - New' 允許在未選取欲儲存之檔案的情況下編輯新原則
- 通用
- PR1769:支援已簽署的 applet,該 applet 於其資訊清單中指明沙箱權限
- 現已可選取多個安全性對話方塊中的暫時性權限,且是以 PolicyEditor 權限為基礎
1.5.2 的更新可提供 OpenJDK 8 支援 (fate#318956)
- NetX
- RH1095311、PR574 - 已移除 OpenJDK 9 中的 sun.misc.Ref 參照類別
- 已修正,現可構建在 JDK9 上
- RH1154177 - 需要快取中的已解碼檔案
- 已修正 https 對話方塊中的 NPE
- 空白的程式碼基底如「.」般運作
請注意,Tenable Network Security 已直接從 SUSE 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下,嘗試自動清理並將其格式化。
解決方案
若要安裝此 SUSE 安全性更新,請使用 YaST online_update。
或者,也可以執行針對您的產品所列的命令:
SUSE Linux Enterprise Workstation Extension 12:
zypper in -t patch SUSE-SLE-WE-12-2015-642=1
SUSE Linux Enterprise Desktop 12:
zypper in -t patch SUSE-SLE-DESKTOP-12-2015-642=1
若要使您的系統保持在最新狀態,請使用「zypper 修補程式」。
Plugin 詳細資訊
檔案名稱: suse_SU-2015-1682-1.nasl
代理程式: unix
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
風險資訊
媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
弱點資訊
CPE: p-cpe:/a:novell:suse_linux:java-1_7_0-openjdk-plugin, p-cpe:/a:novell:suse_linux:java-1_7_0-openjdk-plugin-debuginfo, p-cpe:/a:novell:suse_linux:java-1_7_0-openjdk-plugin-debugsource, cpe:/o:novell:suse_linux:12
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
可輕鬆利用: No known exploits are available