安全性修正：- 據發現，在某些情況下，OpenJDK 的 Hotspot 元件並未正確檢查 System.arraycopy() 函式中的引數。未受信任的 Java 應用程式或 applet 可利用此缺陷損毀虛擬機器記憶體，並完全繞過 Java Sandbox 限制。(CVE-2016-5582) - 據發現，OpenJDK 的 Hotspot 元件並未正確檢查所收到的 Java Debug Wire Protocol (JDWP) 封包。若攻擊者可讓受害者瀏覽器傳送 HTTP 要求至已偵錯應用程式的 JDWP 連接埠，他們就可利用此缺陷將偵錯命令傳送至執行時已啟用偵錯的 Java 程式。(CVE-2016-5573) - 據發現，OpenJDK 的 Libraries 元件並未限制用於 Jar 完整性驗證的演算法集。攻擊者可利用此缺陷修改使用弱簽章金鑰或雜湊演算法的 Jar 檔案內容。(CVE-2016-5542) 注意：完成此更新後，預設就不再允許將 MD2 雜湊演算法及少於 1024 位元的 RSA 金鑰用於 Jar 完整性驗證。未來更新將預設停用 MD5 雜湊演算法。可使用新採用的安全性屬性 jdk.jar.disabledAlgorithms 來控制已停用演算法集。- 在 OpenJDK 的 JMX 元件處理類別加載器的方式中發現一個缺陷。未受信任的 Java 應用程式或 applet 可利用此缺陷，繞過特定 Java Sandbox 限制。(CVE-2016-5554) - 在 OpenJDK 的 Networking 元件處理 HTTP Proxy 驗證的方式中發現一個缺陷。Java 應用程式可能會在 Proxy 提出驗證要求時，透過連至 HTTP Proxy 的純文字網路連線，洩漏 HTTPS 伺服器驗證認證。(CVE-2016-5597) 注意：完成此更新後，透過 HTTP Proxy 打開 HTTPS 連線通道時，就無法再使用基本 HTTP Proxy 驗證。分別進行 HTTP 及 HTTPS Proxy 連線處理時，新採用的系統屬性 jdk.http.auth.proxying.disabledSchemes 和 jdk.http.auth.tunneling.disabledSchemes 可用於控制 HTTP Proxy 可要求的驗證配置類型。

偵測

Scientific Linux 安全性更新：SL5.x、SL6.x、SL7.x i386/x86_64 上的 java-1.6.0-openjdk

critical Nessus Plugin ID 96526

版本 3.6