openSUSE 安全性更新:java-1_7_0-openjdk (openSUSE-2016-976)

critical Nessus Plugin ID 92932

概要

遠端 openSUSE 主機缺少安全性更新。

說明

此 java-1_7_0-openjdk 更新可修正下列問題:

- 2.6.7 的更新 - OpenJDK 7u111

- 安全性修正:

- S8079718、CVE-2016-3458:IIOP 輸入資料流勾點 (bsc#989732)

- S8145446、CVE-2016-3485:完美的管道放置 (僅限 Windows) (bsc#989734)

- S8147771:Javax 自訂原則下靜態保護網域的建構

- S8148872、CVE-2016-3500:完整名稱檢查 (bsc#989730)

- S8149962、CVE-2016-3508:XML 處理的較佳描述 (bsc#989731)

- S8150752:共用類別資料

- S8151925:字型參照改善

- S8152479、CVE-2016-3550:編碼位元組資料流 (bsc#989733)

- S8155981、CVE-2016-3606:增強位元組程式碼驗證 (bsc#989722)

- S8155985、CVE-2016-3598:持續參數處理 (bsc#989723)

- S8158571、CVE-2016-3610:其他方法處理驗證 (bsc#989725)

- CVE-2016-3511 (bsc#989727)

- CVE-2016-3503 (bsc#989728)

- CVE-2016-3498 (bsc#989729)

- OpenJDK 7 u111 build 0 的匯入

- S6953295:將 keytool/jarsigner 使用的一些 sun.security.{util, x509, pkcs} 類別移至其他套件

- S7060849:消除 pack200 版本警告

- S7064075:安全性程式庫不使用 javac
-Xlint:all、-deprecation -Werror 構建

- S7069870:部分 JDK 錯誤地依賴菱形泛型陣列初始設定

- S7102686:重建時間戳記程式碼,使 jar 和模組可以更輕鬆地共用相同程式碼

- S7105780:新增 SSLSocket 用戶端/SSLEngine 伺服器至範本目錄

- S7142339:當未執行時間戳記時,PKCS7.java 不需要建立 SHA1PRNG SecureRandom 執行個體

- S7152582:PKCS11 測試應使用作業系統中提供的 NSS 程式庫

- S7192202:確保 keytool 列印不明且無法剖析的延伸模組

- S7194449:金鑰工具和原則工具的字串資源應位於其各自的套件中

- S7196855:autotest.sh 在 ubuntu 中失敗,這是因為找不到 libsoftokn.so 所導致

- S7200682:TEST_BUG:keytool/autotest.sh 仍有 libsoftokn.so 問題

- S8002306:(se) Selector.open 若在設定執行緒中斷狀態的情況下叫用,會失敗 [win]

- S8009636:包括 TimeStamp PolicyID (TSAPolicyID) 的 JARSigner,如 RFC3161 中所定義

- S8019341:將 CookieHttpsClientTest 更新為使用較新的架構。

- S8022228:sun/security/ssl/javax/net/ssl/NewAPIs 中的間歇性測試失敗

- S8022439:修正 sun.security.ec 中的 lint 警告

- S8022594:sun.nio.ch.Util/IOUtil 之 <clinit> 中的潛在鎖死

- S8023546:sun/security/mscapi/ShortRSAKey1024.sh 間歇性失敗

- S8036612:[parfait] jdk/src/windows/native/sun/security/mscapi/security.cpp 中的 JNI 例外狀況擱置

- S8037557:測試 SessionCacheSizeTests.java 逾時

- S8038837:新增支援至 jarsigner,以指定時間戳記雜湊演算法

- S8079410:從 JDK 共用相同更新和構建版本的 Hotspot 版本

- S8130735:javax.swing.TimerQueue:當其他計時器啟動時,該計時器會較晚觸發

- S8139436:sun.security.mscapi.KeyStore 可能載入不完整資料

- S8144313:測試 SessionTimeOutTests 可逾時

- S8146387:測試 SSLSession/SessionCacheSizeTests 通訊端接受逾時

- S8146669:測試 SessionTimeOutTests 間歇性失敗

- S8146993:數個 javax/management/remote/mandatory 迴歸測試在 JDK-8138811 後失敗

- S8147857:[TEST] RMIConnector 未正確記錄屬性名稱

- S8151841、PR3098:版本需要其他旗標才能以 GCC 6 進行編譯

- S8151876:(tz) 支援 tzdata2016d

- S8157077:8u101 L10n 資源檔案更新

- S8161262:修正 gcc 4.1.2 的 jdk 版本:
-fno-strict-overflow 未知。

- OpenJDK 7 u111 build 1 的匯入

- S7081817:
test/sun/security/provider/certpath/X509CertPath/Illegal Certificates.java 失敗

- S8140344:新增對 3 位數更新版本號碼的支援

- S8145017:新增對 3 位數 hotspot 次要版本號碼的支援

- S8162344:必須還原 CR 7064075 進行的 API 變更

- 反向移植

- S2178143、PR2958:如果在運行時間期間,繫結的 CPU 數變更,JVM 會損毀

- S4900206、PR3101:包括對數學程式庫函式最壞的進位測試

- S6260348、PR3067:GTK+ L&F JTextComponent 未遵循桌面插入點閃爍頻率

- S6934604、PR3075:依預設啟用部分 EliminateAutoBox

- S7043064、PR3020:每晚對 RI b141 & b138 的 sun/java2d/cmm/ 測試失敗

- S7051394、PR3020:透過使用 openjdk-7-b144 執行迴歸測試 LoadProfileTest 時的 NullPointerException

- S7086015、PR3013:修正 test/tools/javac/parser/netbeans/JavacParserTest.java

- S7119487、PR3013:JavacParserTest.java 測試在 Windows 平台上失敗

- S7124245、PR3020:[lcms] 色彩空間 CS_GRAY 的 ColorConvertOp 明顯會將橙色轉換為 244,244,0

- S7159445、PR3013:(javac) 針對增強的 for-loops 發出不準確的診斷

- S7175845、PR1437、RH1207129:「jar uf」無預警變更檔案權限

- S8005402、PR3020:需要為色彩管理提供基準

- S8005530、PR3020:[lcms] 針對預設目的地改善 ColorConverOp 的效能

- S8005930、PR3020:[lcms] ColorConvertOp:Alpha 色板未從來源傳輸至目的地。

- S8013430、PR3020:REGRESSION:
closed/java/awt/color/ICC_Profile/LoadProfileTest/LoadPr ofileTest.java 因 java.io.StreamCorruptedException 失敗:無效的類型程式碼:8b87 之後的 EE

- S8014286、PR3075:6934604 變更後,失敗的 java/lang/Math/DivModTests.java

- S8014959、PR3075:
assert(Compile::current()->live_nodes() < (uint)MaxNodeLimit) 失敗:即時節點限制超出限制

- S8019247、PR3075:編譯方法 c8e.e.t_.getArray(Ljava/lang/Class;) 中的 SIGSEGV [Ljava/lang/Object

- S8024511、PR3020:在色彩設定檔解構期間損毀

- S8025429、PR3020:[parfait] 來自 b107 給 sun.java2d.cmm 的警告:JNI 例外狀況擱置

- S8026702、PR3020:8025429 的修正在 windows 上中斷 jdk 版本

- S8026780、PR3020、RH1142587:針對 Java_awt 測試套件,在 PPC 和 PPC v2 中損毀

- S8047066、PR3020:測試 test/sun/awt/image/bug8038000.java 因 ClassCastException 失敗

- S8069181、PR3012、RH1015612:在 JDK 8 中編譯 JDK 1.4 程式碼時的 java.lang.AssertionError

- S8158260、PR2992、RH1341258:PPC64:未對齊的 Unsafe.getInt 可導致產生不合法指令 (bsc#988651)

- S8159244、PR3075:由 C2 字串聯繫最佳化建立的部分初始化字串物件可能逸出

- 錯誤修正

- PR2799、RH1195203:檔案從 resources.jar 中遺漏

- PR2900:不使用 NSS 函式的 WithSeed 版本,因其不會完整處理種子

- PR3091:SystemTap 受到多個 JDK 嚴重混淆

- PR3102:將 8022594 延伸至 AixPollPort

- PR3103:處理尚未建立 linux.fontconfig.Gentoo.properties.old 之 clean-fonts 中的情況

- PR3111:提供停用 SystemTap 測試的選項

- PR3114:不假設系統 mime.types 支援 text/x-java-source

- PR3115:新增對橢圓曲線密碼編譯實作的檢查

- PR3116:新增對 Java 除錯資訊和來源檔案的測試

- PR3118:agpl-3.0.txt 的路徑未更新

- PR3119:Makefile 會將 cacerts 做為符號連結處理,但設定檢查不會

- AArch64 連接埠

- S8148328、PR3100:aarch64:虛設常式程式碼中多餘的 lsr 指令。

- S8148783、PR3100:aarch64:執行 SpecJBB2013 的 SEGV

- S8148948、PR3100:aarch64:generate_copy_longs 錯誤呼叫 align()

- S8150045、PR3100:arraycopy 造成記憶體回收期間,SATB 中發生分割錯誤

- S8154537、PR3100:AArch64:永遠不會發出一些整數旋轉指令

- S8154739、PR3100:AArch64:TemplateTable::fast_xaccess 在錯誤模式下載入

- S8157906、PR3100:aarch64:永遠不會發出更多整數旋轉指令

解決方案

更新受影響的 java-1_7_0-openjdk 套件。

另請參閱

https://bugzilla.opensuse.org/show_bug.cgi?id=988651

https://bugzilla.opensuse.org/show_bug.cgi?id=989722

https://bugzilla.opensuse.org/show_bug.cgi?id=989723

https://bugzilla.opensuse.org/show_bug.cgi?id=989725

https://bugzilla.opensuse.org/show_bug.cgi?id=989727

https://bugzilla.opensuse.org/show_bug.cgi?id=989728

https://bugzilla.opensuse.org/show_bug.cgi?id=989729

https://bugzilla.opensuse.org/show_bug.cgi?id=989730

https://bugzilla.opensuse.org/show_bug.cgi?id=989731

https://bugzilla.opensuse.org/show_bug.cgi?id=989732

https://bugzilla.opensuse.org/show_bug.cgi?id=989733

https://bugzilla.opensuse.org/show_bug.cgi?id=989734

Plugin 詳細資訊

嚴重性: Critical

ID: 92932

檔案名稱: openSUSE-2016-976.nasl

版本: 2.5

類型: local

代理程式: unix

已發布: 2016/8/12

已更新: 2021/1/19

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

風險資訊

VPR

風險因素: High

分數: 7.3

CVSS v2

風險因素: High

基本分數: 9.3

媒介: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

CVSS v3

風險因素: Critical

基本分數: 9.6

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

弱點資訊

CPE: p-cpe:/a:novell:opensuse:java-1_7_0-openjdk, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-accessibility, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-bootstrap, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-bootstrap-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-bootstrap-debugsource, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-bootstrap-devel, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-bootstrap-devel-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-bootstrap-headless, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-bootstrap-headless-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-debugsource, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-demo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-demo-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-devel, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-devel-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-headless, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-headless-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-javadoc, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-src, cpe:/o:novell:opensuse:13.2

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

修補程式發佈日期: 2016/8/11

弱點發布日期: 2016/7/21

參考資訊

CVE: CVE-2016-3458, CVE-2016-3485, CVE-2016-3498, CVE-2016-3500, CVE-2016-3503, CVE-2016-3508, CVE-2016-3511, CVE-2016-3550, CVE-2016-3598, CVE-2016-3606, CVE-2016-3610