來自 Red Hat 安全性公告 2016:0067：

現已提供適用於 Red Hat Enterprise Linux 5、6 和 7 的更新版 java-1.6.0-openjdk 套件，可修正多個安全性問題。

Red Hat 產品安全性團隊已將此更新評等為具有重要安全性影響。可針對每個弱點從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。

Java-1.6.0-openjdk 套件提供 OpenJDK 6 Java Runtime Environment 和 OpenJDK 6 Java Software Development Kit。

在 OpenJDK 之 AWT 元件的 JPEG 影像格式解碼器中發現一個超出邊界寫入瑕疵。特製的 JPEG 影像可造成 Java 應用程式損毀，或可能執行任意程式碼。
未受信任的 Java 應用程式或 applet 可利用此瑕疵，繞過 Java Sandbox 限制。(CVE-2016-0483)

在 OpenJDK 的 2D 元件中，字型剖析程式碼存在一個整數正負號問題。特製的字型檔案可能導致 Java 虛擬機器執行任意程式碼，從而允許未受信任的 Java 應用程式或 applet 繞過 Java Sandbox 限制。(CVE-2016-0494)

據發現，OpenJDK 的 JAXP 元件未正確強制 totalEntitySizeLimit 限制。可以使 Java 應用程式處理特製 XML 檔案的攻擊者，可利用此瑕疵來使應用程式消耗過量記憶體。
(CVE-2016-0466)

在 OpenJDK 的 Networking 和 JMX 元件中發現多個瑕疵。未受信任的 Java 應用程式或 applet 可利用這些瑕疵，繞過特定 Java Sandbox 限制。(CVE-2016-0402、CVE-2016-0448)

注意：此更新也不允許在憑證路徑處理中使用 MD5 雜湊演算法。將 MD5 從在 java.security 檔案中定義的 jdk.certpath.disabledAlgorithms 安全性內容中移除後，可重新啟用 MD5 的使用。

建議所有 java-1.6.0-openjdk 使用者皆升級至這些更新版套件，其可解決這些問題。所有執行中的 OpenJDK Java 執行個體都必須重新啟動，更新才能生效。

偵測

Oracle Linux 5 / 6 / 7：java-1.6.0-openjdk (ELSA-2016-0067)

critical Nessus Plugin ID 88403

找不到變更記錄