Amazon Linux AMI : java-1.8.0-openjdk (ALAS-2016-759)
critical Nessus Plugin ID 94341
語系:
概要
遠端 Amazon Linux AMI 主機缺少一個安全性更新。說明
據發現,在某些情況下,OpenJDK 的 Hotspot 元件並未正確檢查 System.arraycopy() 函式中的引數。未受信任的 Java 應用程式或 applet 可利用此缺陷損毀虛擬機器記憶體,並完全繞過 Java Sandbox 限制。(CVE-2016-5582) 據發現,OpenJDK 的 Hotspot 元件並未正確檢查所收到的 Java Debug Wire Protocol (JDWP) 封包。若攻擊者可讓受害者瀏覽器傳送 HTTP 要求至已偵錯應用程式的 JDWP 連接埠,他們就可利用此缺陷將偵錯命令傳送至執行時已啟用偵錯的 Java 程式。(CVE-2016-5573) 據發現,OpenJDK 的 Libraries 元件並未限制用於 JAR 完整性驗證的演算法集。攻擊者可利用此缺陷修改使用弱簽署金鑰或雜湊演算法的 JAR 檔案內容。(CVE-2016-5542) (注意:完成此更新後,預設就不再允許將 MD2 雜湊演算法及少於 1024 位元的 RSA 金鑰用於 Jar 完整性驗證。未來更新將預設停用 MD5 雜湊演算法。可使用新採用的安全性屬性 jdk.jar.disabledAlgorithms 來控制已停用演算法集。)在 OpenJDK 的 JMX 元件處理類別加載器的方式中發現一個缺陷。未受信任的 Java 應用程式或 applet 可利用此缺陷,繞過特定 Java Sandbox 限制。(CVE-2016-5554) 在 OpenJDK 的 Networking 元件處理 HTTP Proxy 驗證的方式中發現一個缺陷。Java 應用程式可能會在 Proxy 提出驗證要求時,透過連至 HTTP Proxy 的純文字網路連線,洩漏 HTTP 伺服器驗證認證。(CVE-2016-5597)解決方案
執行「yum update java-1.8.0-openjdk」以更新系統。另請參閱
Plugin 詳細資訊
嚴重性: Critical
ID: 94341
檔案名稱: ala_ALAS-2016-759.nasl
版本: 2.3
類型: local
代理程式: unix
已發布: 2016/10/28
已更新: 2018/4/18
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
風險資訊
VPR
風險因素: High
分數: 7.3
CVSS v2
風險因素: High
基本分數: 9.3
媒介: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
CVSS v3
風險因素: Critical
基本分數: 9.6
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
弱點資訊
CPE: p-cpe:/a:amazon:linux:java-1.8.0-openjdk, p-cpe:/a:amazon:linux:java-1.8.0-openjdk-debuginfo, p-cpe:/a:amazon:linux:java-1.8.0-openjdk-demo, p-cpe:/a:amazon:linux:java-1.8.0-openjdk-devel, p-cpe:/a:amazon:linux:java-1.8.0-openjdk-headless, p-cpe:/a:amazon:linux:java-1.8.0-openjdk-javadoc, p-cpe:/a:amazon:linux:java-1.8.0-openjdk-src, cpe:/o:amazon:linux
必要的 KB 項目: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
修補程式發佈日期: 2016/10/27
參考資訊
CVE: CVE-2016-5542, CVE-2016-5554, CVE-2016-5573, CVE-2016-5582, CVE-2016-5597
ALAS: 2016-759