更新版 java-1.7.0-openjdk 套件可修正安全性弱點：

在 2D 元件原生影像剖析程式碼中找到多個輸入檢查瑕疵。特製的影像檔可觸發 Java 虛擬機器記憶體損毀，甚至可能以執行 Java 虛擬機器之使用者的權限執行任意程式碼 (CVE-2013-5782)。

類別載入器未正確檢查非公開 proxy 類別的套件存取權。遠端攻擊者可能利用此瑕疵，以執行 Java 虛擬機器之使用者的權限執行任意程式碼 (CVE-2013-5830)。

在 OpenJDK 的 2D、CORBA、JNDI 和程式庫元件中，發現多個不當權限檢查問題。未受信任的 Java 應用程式或 applet 可利用這些瑕疵來繞過 Java Sandbox 限制 (CVE-2013-5829、CVE-2013-5814、CVE-2013-5817、CVE-2013-5842、CVE-2013-5850、CVE-2013-5838)。

在 2D 元件的 JPEG 影像讀取和寫入程式碼中，發現多個輸入檢查瑕疵。未受信任的 Java 應用程式或 applet 可利用這些瑕疵，損毀 Java 虛擬機器記憶體，並繞過 Java Sandbox 限制 (CVE-2013-5809)。

javax.xml.transform 套件轉換器未正確接受 FEATURE_SECURE_PROCESSING 設定。遠端攻擊者可利用此瑕疵，提供一個特製 XML，處理時無須遵守預定的安全性限制 (CVE-2013-5802)。

在 JAXP 和 Security 元件用於處理 XML 輸入的方式中發現多個錯誤。遠端攻擊者可建立特製的 XML，導致 Java 應用程式在處理時，使用過量的 CPU 和記憶體 (CVE-2013-5825、CVE-2013-4002、CVE-2013-5823)。

在 OpenJDK 的 Libraries Swing、JAX-WS、JAXP、JGSS、AWT、Beans 和 Scripting 元件中發現多個不當權限檢查問題。未受信任的 Java 應用程式或 applet 可利用這些瑕疵，繞過特定 Java Sandbox 限制 (CVE-2013-3829、CVE-2013-5840、CVE-2013-5774、CVE-2013-5783、CVE-2013-5820、CVE-2013-5851、CVE-2013-5800、CVE-2013-5849、CVE-2013-5790、CVE-2013-5784)。

據發現，2D 元件影像程式庫在執行影像轉換時，未正確檢查邊界。未受信任的 Java 應用程式或 applet 可利用此瑕疵，洩漏部分 Java 虛擬機器記憶體 (CVE-2013-5778)。

在 javadoc 中發現多個輸入清理瑕疵。若 javadoc 文件是由不受信任的 Jave 原始碼產生，且是被未由程式碼作者所控制的網域主控，這些問題可導致更容易執行跨網站指令碼攻擊 (CVE-2013-5804、CVE-2013-5797)。

代表密碼編譯金鑰的各種 OpenJDK 類別，可在 toString() 方法傳回的字串中加入敏感資料，進而洩漏私密金鑰資訊。這些瑕疵可能導致未預期暴露敏感的金鑰資料 (CVE-2013-5780)。

Java Heap Analysis Tool (jhat) 無法將新增至其產生之 HTML 頁面的所有資料正確逸出。在使用 jhat 分析的 Java 程式記憶體中，特製的內容可能遭用來發動跨網站指令碼攻擊 (CVE-2013-5772)。

OpenJDK 中的 Kerberos 實作未正確剖析 KDC 回應。格式錯誤的封包可造成使用 JGSS 的 Java 應用程式結束 (CVE-2013-5803)。

此更新會將 IcedTea 升級至 2.4.3 版，可修正這些問題，以及其他數個問題。

遠端主機上的 IBM Domino (先前稱為 Lotus Domino) 8.0.x / 8.5.x / 9.0.x 版本隨附於比 1.6 SR15 FP1 舊的 IBM Java 版本。因此，其受到 2013 年 10 月和 2014 年 1 月 Oracle Java 重要修補程式更新公告中所述的弱點影響。

遠端主機上安裝的 IBM EngineeringRequirements Management DOORS (之前稱為 IBM Rational DOORS) 版本為 9.7.2.10 之前的 9.7.2.9 版。因此會受到 7238992 公告中所提及的多個弱點影響。

  - CKEditor4 是一個開放原始碼的 WYSIWYG HTML 編輯器。在受影響的版本中，在核心 HTML 處理模組中發現一個弱點，可能影響 CKEditor 4 使用的所有外掛程式。此弱點允許繞過內容清理，插入格式錯誤的註解 HTML，進而導致執行 JavaScript 程式碼。此弱點會影響使用 CKEditor 4 版本 < 4.17.0 的所有使用者。已識別並修補此問題。此修正將在 4.17.0 版中提供。(CVE-2021-41165)

  - CKEditor4 是一個開放原始碼的 WYSIWYG HTML 編輯器。在受影響的版本中，在 Advanced Content Filter (ACF) 模組中發現一個弱點，可能影響 CKEditor 4 使用的所有外掛程式。此弱點允許繞過內容清理，插入格式錯誤的 HTML，進而導致執行 JavaScript 程式碼。此弱點會影響使用 CKEditor 4 版本 < 4.17.0 的所有使用者。已識別並修補此問題。此修正將在 4.17.0 版中提供。(CVE-2021-41164)

  - 在 4.16 之前的 CKEditor 4 內可透過說服受害者將特製的文字貼到特定對話方塊的樣式輸入 (在對話方塊外掛程式的進階索引標籤中) 的樣式輸入中藉此在 CKEditor 4 內執行 ReDoS 類型攻擊。 (CVE-2021-26271)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 MiracleLinux 3 主機已安裝受到多個弱點影響的套件如 AXSA:2013-683:04 公告中所提及。

    OpenJDK 運行時間環境。
    此版本修正的安全性問題
     CVE-2013-3829 Oracle Java SE 7u40 和更舊版本、Java SE 6u60 和更舊版本、Java SE 5.0u51 和更舊版本以及 Java SE Embedded 7u40 和更舊版本中的 Java SE、Java SE Embedded 元件有不明弱點允許遠端攻擊者透過與程式庫相關的未知向量。
     CVE-2013-4002 在 IBM Java 5.05.0 SR16-FP3 之前的 [] 和 6 SR14之前的 6、 6.0.1 SR6 之前的 6.0.1 以及 7 SR5 之前的 7 中Java Runtime Environment (JRE) 存在不明弱點允許遠端攻擊者透過未知向量影響可用性。
     CVE-2013-5772 Oracle Java SE Java SE 7u40 和更舊版本以及 Java SE 6u60 和更舊版本中 Java SE 元件的不明弱點允許遠端攻擊者經由與 jhat 相關的未知向量影響完整性。
     CVE-2013-5774 Oracle Java SE Java SE 7u40 和更舊版本、Java SE 6u60 和更舊版本、Java SE 5.0u51 和更舊版本以及 Java SE Embedded 7u40 和更舊版本中的 Java SE、Java SE Embedded 元件存在不明弱點允許遠端攻擊者透過未知向量影響完整性相關的程式庫。
     CVE-2013-5778 Oracle Java SE Java SE 7u40 和更舊版本、Java SE 6u60 和更舊版本、Java SE 5.0u51 和更舊版本以及 Java SE Embedded 7u40 和更舊版本中存在一個不明弱點允許遠端攻擊者透過與 2D 相關的未知向量影響機密性。
     CVE-2013-5780 Oracle Java SE 7u40 和更舊版本、Java SE 6u60 和更舊版本、Java SE 5.0u51 和更舊版本、JRockit R28.2.8 和更舊版本、JRockit R27.7.6 和更舊版本以及 Java SE Embedded 7u40 和更舊版本中有不明弱點允許遠端攻擊者可透過與程式庫相關的未知向量影響機密性。
     CVE-2013-5782 Oracle Java SE 7u40 和更舊版本、Java SE 6u60 和更舊版本、Java SE 5.0u51 和更舊版本、JRockit R28.2.8 和更舊版本、JRockit R27.7.6 和更舊版本以及 Java SE Embedded 7u40 和更舊版本中有不明弱點允許遠端攻擊者可透過與 2D 相關的未知向量影響機密性、完整性和可用性。
     CVE-2013-5783 Oracle Java SE 7u40 和更舊版本、Java SE 6u60 和更舊版本、Java SE 5.0u51 和更舊版本以及 Java SE Embedded 7u40 和更舊版本中有不明弱點允許遠端攻擊者透過與 Swing 相關之未知向量影響機密性和完整性。
     CVE-2013-5784 Oracle Java SE 7u40 和更舊版本、Java SE 6u60 和更舊版本以及 Java SE Embedded 7u40 和更舊版本中存在不明弱點允許遠端攻擊者透過與 SCRIPTING 有關的向量影響完整性。
     CVE-2013-5790 Oracle Java SE 7u40 和更舊版本、Java SE 6u60 和更舊版本、Java SE 5.0u51 和更舊版本以及 Java SE Embedded 7u40 和更舊版本中有不明弱點允許遠端攻擊者透過與 BEANS 有關的向量影響機密性。
     CVE-2013-5797 Oracle Java SE 7u40 和更舊版本、Java SE 6u60 和更舊版本、Java SE 5.0u51 和更舊版本、JRockit R28.2.8 和更舊版本、JRockit R27.7.6 和更舊版本以及 JavaFX 2.2.40 和更舊版本中有不明弱點允許遠端經過驗證來透過與 Javadoc 相關的未知向量影響完整性。
     CVE-2013-5802 Oracle Java SE 7u40 和更舊版本、Java SE 6u60 和更舊版本、Java SE 5.0u51 和更舊版本、JRockit R28.2.8 和更舊版本、JRockit R27.7.6 和更舊版本以及 Java SE Embedded 7u40 和更舊版本中有不明弱點允許遠端攻擊者可透過與 JAXP 相關的向量影響機密性、完整性和可用性。
     CVE-2013-5803 Oracle Java SE 7u40 和更舊版本、Java SE 6u60 和更舊版本、Java SE 5.0u51 和更舊版本、JRockit R28.2.8 和更舊版本、JRockit R27.7.6 和更舊版本以及 Java SE Embedded 7u40 和更舊版本中有不明弱點允許遠端攻擊者可透過與 JGSS 相關的向量影響可用性。
     CVE-2013-5804 Oracle Java SE 7u40 和更舊版本、Java SE 6u60 和更舊版本、Java SE 5.0u51 和更舊版本、JRockit R28.2.8 和更舊版本以及 JRockit R27.7.6 和更舊版本中有不明弱點允許遠端攻擊者透過 影響機密性和完整性與 Javadoc 相關的未知向量。
     CVE-2013-5809 Oracle Java SE 7u40 和更舊版本、Java SE 6u60 和更舊版本、Java SE 5.0u51 和更舊版本以及 Java SE Embedded 7u40 和更舊版本中有不明弱點允許遠端攻擊者透過與 2D 相關的未知向量影響機密性、完整性和可用性。
     CVE-2013-5814 Oracle Java SE 7u40 和更舊版本、Java SE 6u60 和更舊版本、Java SE 5.0u51 和更舊版本以及 Java SE Embedded 7u40 和更舊版本中有不明弱點允許遠端攻擊者透過與 CORBA 有關的向量影響機密性、完整性和可用性。
     CVE-2013-5817 Oracle Java SE 7u40 和更舊版本、Java SE 6u60 和更舊版本、Java SE 5.0u51 和更舊版本以及 Java SE Embedded 7u40 和更舊版本中有不明弱點允許遠端攻擊者透過與 JNDI 相關的向量影響機密性、完整性和可用性。
     CVE-2013-5820 Oracle Java SE 7u40 和更舊版本、Java SE 6u60 和更舊版本以及 Java SE Embedded 7u40 和更舊版本中存在不明弱點允許遠端攻擊者透過與 JAX-WS 相關的向量影響完整性。
     CVE-2013-5823 Oracle Java SE 7u40 和更舊版本、Java SE 6u60 和更舊版本、JRockit R28.2.8 和更舊版本、JRockit R27.7.6 和更舊版本以及 Java SE Embedded 7u40 和更舊版本中有不明弱點允許遠端攻擊者透過未知向量影響可用性安全性相關。
     CVE-2013-5825 Oracle Java SE 7u40 和更舊版本、Java SE 6u60 和更舊版本、Java SE 5.0u51 和更舊版本、JRockit  R28.2.8 和更舊版本、JRockit R27.7.6 和更舊版本以及 Java SE Embedded 7u40 和更舊版本中有不明弱點，其允許遠端攻擊者透過與 JAXP 相關的向量影響可用性。
     CVE-2013-5829 Oracle Java SE 7u40 和更舊版本、Java SE 6u60 和更舊版本、Java SE 5.0u51 和更舊版本以及 Java SE Embedded 7u40 和更舊版本中有不明弱點允許遠端攻擊者透過與 2D 相關的未知向量影響機密性、完整性和可用性。
     CVE-2013-5830 Oracle Java SE 7u40 和更舊版本、Java SE 6u60 和更舊版本、Java SE 5.0u51 和更舊版本、JRockit  R28.2.8 和更舊版本、JRockit R27.7.6 和更舊版本以及 Java SE Embedded 7u40 和更舊版本中有不明弱點，其允許遠端攻擊者透過與 Libraries 相關的向量影響機密性、完整性和可用性。
     CVE-2013-5840 Oracle Java SE 7u40 和更舊版本、Java SE 6u60 和更舊版本、Java SE 5.0u51 和更舊版本以及 Java SE Embedded 7u40 和更舊版本中有不明弱點允許遠端攻擊者透過與程式庫相關的未知向量影響機密性。
     CVE-2013-5842 Oracle Java SE 7u40 和更舊版本、Java SE 6u60 和更舊版本、Java SE 5.0u51 和更舊版本以及 Java SE Embedded 7u40 和更舊版本中有不明弱點允許遠端攻擊者透過與程式庫相關的未知向量影響機密性、完整性和可用性。
     CVE-2013-5849 Oracle Java SE 7u40 和更舊版本、Java SE 6u60 和更舊版本、Java SE 5.0u51 和更舊版本以及 Java SE Embedded 7u40 和更舊版本中有不明弱點允許遠端攻擊者透過與 AWT 相關的向量影響機密性。
     CVE-2013-5850 Oracle Java SE 7u40 和更舊版本、Java SE 6u60 和更舊版本、Java SE 5.0u51 和更舊版本以及 Java SE Embedded 7u40 和更舊版本中有不明弱點允許遠端攻擊者透過與程式庫相關的未知向量影響機密性、完整性和可用性。

Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

OpenJDK 1.6 已更新至新的 Icedtea 版本 1.12.7，其中含有許多錯誤和安全性問題的修正：

- S8006900、CVE-2013-3829：新增日期/時間功能

- S8008589：改善 MBean 權限驗證

- S8011071、CVE-2013-5780：改善加密提供者處理

- S8011081、CVE-2013-5772：改善 jhat

- S8011157、CVE-2013-5814：改善 CORBA 可攜性

- S8012071、CVE-2013-5790：改善 Beans 的構建

- S8012147：改善工具支援

- S8012277：CVE-2013-5849：改善 AWT DataFlavor

- S8012425、CVE-2013-5802：轉換 TransformerFactory

- S8013503、CVE-2013-5851：改善資料流工廠

- S8013506：改善 Pack200 資料處理

- S8013510、CVE-2013-5809：增強影像寫入程式碼

- S8013514：改善 cmap 類別的穩定性

- S8013739、CVE-2013-5817：改善 LDAP 資源管理

- S8013744、CVE-2013-5783：改善 AWT 的製表功能

- S8014085：改善 JMX 類別的序列化支援

- S8014093、CVE-2013-5782：改善影像的剖析

- S8014102、CVE-2013-5778：改善影像轉換

- S8014341、CVE-2013-5803：改善來自 Kerberos 伺服器的服務

- S8014349、CVE-2013-5840：(cl) Class.getDeclaredClass 在某些類別載入器組態中有問題

- S8014530、CVE-2013-5825：改善數位簽章處理

- S8014534：改善分析支援

- S8014987、CVE-2013-5842：增強序列化處理

- S8015614：更新 build 設定

- S8015731：使 java.security.auth.subject 套用改善項目

- S8015743、CVE-2013-5774：處理網際網路位址

- S8016256：使完成項為最終項目

- S8016653、CVE-2013-5804：javadoc 應忽略名稱中的可忽略字元

- S8016675、CVE-2013-5797：使 Javadoc 頁面更健全

- S8017196、CVE-2013-5850：確認正確處理 Proxy

- S8017287、CVE-2013-5829：改善資源棄置

- S8017291、CVE-2013-5830：棄置 Proxy

- S8017298、CVE-2013-4002：改善 XML 支援

- S8017300、CVE-2013-5784：改善介面實作

- S8017505、CVE-2013-5820：改善用戶端服務

- S8019292：改善屬性值例外狀況

- S8019617：改善物件檢視

- S8020293：JVM 當機

- S8021290、CVE-2013-5823：改善簽章驗證

- S8022940：增強 CORBA 轉譯

- S8023683：增強類別檔案剖析

遠端 MiracleLinux 4 主機已安裝一個受到 AXSA:2014-577:01 公告中所提及的弱點影響的套件。

    描述：
    歡迎使用未來Xerces2 是 Apache Xerces 系列中完全相容的新一代高效能 XML 剖析器。
    此新版 Xerces 引入了 Xerces Native Interface (XNI)這是一個用於建置剖析器元件與組態的完整架構此架構極為模組化且易於程式設計。
    Apache Xerces2 剖析器是 XNI 的參照實作但也可使用 Xerces Native Interface 寫入其他剖析器元件、組態和剖析器。如需完整的設計與實作文件請參閱 XNI 手冊。
    Xerces 2 是完全符合的 XML Schema 處理器。如需詳細資訊請參閱 XML 配置頁面。
    Xerces 2 也提供文件物件模型層級 3 核心的部分實作載入與儲存以及抽象配置 [已過時] 工作草稿。如需詳細資訊請參閱「DOM 層級 3 實作」頁面。
    此版本修正的安全性問題
    CVE-2013-4002 在 IBM Java 5.05.0 SR16-FP3 之前的 [] 和 6 SR14之前的 6、 6.0.1 SR6 之前的 6.0.1 以及 7 SR5 之前的 7 中Java Runtime Environment (JRE) 存在不明弱點允許遠端攻擊者透過未知向量影響可用性。

Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

CVE-2013-4002 的安全性修正

請注意，Tenable Network Security 已直接從 Fedora 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

來自 Red Hat 安全性公告 2014:1319：

現已提供適用於 Red Hat Enterprise Linux 6 和 7 的更新版 xerces-j2 套件，可修正一個安全性問題。

Red Hat 產品安全性團隊已將此更新評等為具有中等安全性影響。可從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。

Apache Xerces for Java (Xerces-J) 是以 Java 寫入的符合標準的高效能驗證 XML 剖析器。xerces-j2 套件提供 Xerces-J 2 版。

在 Xerces-J 處理 XML 宣告的方式中發現資源消耗問題。遠端攻擊者可利用包含使用長 pseudo-attribute 名稱之特製宣告的 XML 文件，當使用 Xerces-J 的應用程式解析這個文件時，會導致該應用程式使用過量的 CPU。(CVE-2013-4002)

建議所有 xerces-j2 使用者皆升級至這些更新版套件，其中包含可更正此問題的反向移植修補程式。使用 Xerces-J 的應用程式必須重新啟動，此更新才會生效。

現已提供適用於 Red Hat Enterprise Linux 7 的更新版套件，內含 Red Hat JBoss Enterprise Application Platform 6.3.2，可修正一個安全性問題、數個錯誤，並新增數項增強功能。

Red Hat 產品安全性團隊已將此更新評等為具有中等安全性影響。可從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。

Red Hat JBoss Enterprise Application Platform 6 是一個以 JBoss Application Server 7 為基礎，並提供給 Java 應用程式使用的平台。

在 Xerces-J 處理 XML 宣告的方式中發現資源消耗問題。遠端攻擊者可利用包含使用長 pseudo-attribute 名稱之特製宣告的 XML 文件，當使用 Xerces-J 的應用程式解析這個文件時，會導致該應用程式使用過量的 CPU。(CVE-2013-4002)

此 JBoss Enterprise Application Platform 版本也包含錯誤修正及增強功能。這些變更的清單可從客戶入口網站上的 JBoss Enterprise Application Platform 6.3.2 下載頁面中取得。

建議所有在 Red Hat Enterprise Linux 7 中使用 Red Hat JBoss Enterprise Application Platform 6.3 的使用者皆升級至這些更新版套件。必須重新啟動 JBoss 伺服器處理程序，此更新才會生效。

現已提供適用於 Red Hat Enterprise Linux 6 的更新版 java-1.7.0-openjdk 套件，可修正多個安全性問題。

Red Hat 安全性回應團隊已將此更新評為具有重大安全性影響。可針對每個弱點從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。

Java-1.7.0-openjdk 套件提供 OpenJDK 7 Java Runtime Environment 和 OpenJDK 7 Java Software Development Kit。

在 2D 元件原生影像剖析程式碼中找到多個輸入檢查瑕疵。利用特製的影像檔可觸發 Java 虛擬機器記憶體損毀，甚至可能以執行 Java 虛擬機器之使用者的權限，執行任意程式碼。(CVE-2013-5782)

類別載入器未正確檢查非公開 proxy 類別的套件存取權。遠端攻擊者可利用此瑕疵，以執行 Java 虛擬機器之使用者的權限執行任意程式碼。(CVE-2013-5830)

在 OpenJDK 的 2D、CORBA、JNDI 和程式庫元件中，發現多個不當權限檢查問題。未受信任的 Java 應用程式或 applet 可利用這些瑕疵繞過 Java Sandbox 限制。(CVE-2013-5829、CVE-2013-5814、CVE-2013-5817、CVE-2013-5842、CVE-2013-5850、CVE-2013-5838)

在 2D 元件的 JPEG 影像讀取和寫入程式碼中，發現多個輸入檢查瑕疵。未受信任的 Java 應用程式或 applet 可利用這些瑕疵，損毀 Java 虛擬機器記憶體，且可能繞過 Java Sandbox 限制。
(CVE-2013-5809)

javax.xml.transform 套件轉換器未正確接受 FEATURE_SECURE_PROCESSING 設定。遠端攻擊者可利用此瑕疵，提供一個特製 XML，處理時無須遵守預定的安全性限制。(CVE-2013-5802)

在 JAXP 和 Security 元件用於處理 XML 輸入的方式中發現多個錯誤。遠端攻擊者可建立特製的 XML，導致 Java 應用程式在處理時，使用過量的 CPU 和記憶體。(CVE-2013-5825、CVE-2013-4002、CVE-2013-5823)

在 OpenJDK 的 Libraries、Swing、JAX-WS、JAXP、JGSS、AWT、Beans 和 Scripting 元件中，發現多個權限檢查不當問題。未受信任的 Java 應用程式或 applet 可利用這些瑕疵，繞過特定 Java Sandbox 限制。
(CVE-2013-3829、CVE-2013-5840、CVE-2013-5774、CVE-2013-5783、CVE-2013-5820、CVE-2013-5851、CVE-2013-5800、CVE-2013-5849、CVE-2013-5790、CVE-2013-5784)

據發現，2D 元件影像程式庫在執行影像轉換時，未正確檢查邊界。未受信任的 Java 應用程式或 applet 可利用此瑕疵，洩漏部分 Java 虛擬機器記憶體。(CVE-2013-5778)

在 javadoc 中發現多個輸入清理瑕疵。若 javadoc 文件是由不受信任的 Java 原始碼產生，且是在未由程式碼作者所控制的網域上託管，這些問題可導致攻擊者更容易發動跨網站指令碼攻擊。
(CVE-2013-5804、CVE-2013-5797)

代表密碼編譯金鑰的各種 OpenJDK 類別，可在 toString() 方法傳回的字串中加入敏感資料，進而洩漏私密金鑰資訊。這些瑕疵可能導致未預期暴露敏感的金鑰資料。(CVE-2013-5780)

Java Heap Analysis Tool (jhat) 無法將新增至其產生之 HTML 頁面的所有資料正確逸出。在使用 jhat 分析的 Java 程式中，特製的記憶體內容可能遭到用來發動跨網站指令碼攻擊。(CVE-2013-5772)

OpenJDK 中的 Kerberos 實作未正確剖析 KDC 回應。格式錯誤的封包可導致使用 JGSS 的 Java 應用程式結束執行。(CVE-2013-5803)

注意：如果已安裝 icedtea-web 套件所提供的網頁瀏覽器外掛程式，則當使用者造訪惡意網站時，可能在無使用者互動的環境下惡意利用透過 Java applet 揭露的問題。

建議所有 java-1.7.0-openjdk 使用者皆升級至這些更新版套件，其可解決這些問題。所有執行中的 OpenJDK Java 執行個體都必須重新啟動，更新才能生效。

在 OpenJDK JRE 中發現數個與資訊洩漏和資料完整性相關的弱點。攻擊者可惡意利用這些弱點透過網路洩漏敏感資料。(CVE-2013-3829、CVE-2013-5783、CVE-2013-5804、CVE-2014-0411)

在 OpenJDK JRE 中發現數個與可用性相關的弱點。攻擊者可惡意利用這些弱點造成拒絕服務。(CVE-2013-4002、CVE-2013-5803、CVE-2013-5823、CVE-2013-5825、CVE-2013-5896、CVE-2013-5910)

在 OpenJDK JRE 中發現數個和資料完整性有關的弱點。(CVE-2013-5772、CVE-2013-5774、CVE-2013-5784、CVE-2013-5797、CVE-2013-5820、CVE-2014-0376、CVE-2014-0416)

在 OpenJDK JRE 中發現數個與資訊洩漏相關的弱點。攻擊者可惡意利用這些弱點透過網路洩漏敏感資料。(CVE-2013-5778、CVE-2013-5780、CVE-2013-5790、CVE-2013-5800、CVE-2013-5840、CVE-2013-5849、CVE-2013-5851、CVE-2013-5884、CVE-2014-0368)

在 OpenJDK JRE 中發現數個與資訊洩漏、資料完整性和可用性有關的弱點。攻擊者可惡意利用這些弱點造成拒絕服務，或透過網路洩漏敏感資料。(CVE-2013-5782、CVE-2013-5802、CVE-2013-5809、CVE-2013-5829、CVE-2013-5814、CVE-2013-5817、CVE-2013-5830、CVE-2013-5842、CVE-2013-5850、CVE-2013-5878、CVE-2013-5893、CVE-2013-5907、CVE-2014-0373、CVE-2014-0408、CVE-2014-0422、CVE-2014-0428)

在 OpenJDK JRE 中發現一個和資訊洩漏及可用性有關的弱點。攻擊者可惡意利用此弱點，透過網路洩漏敏感資料，或是造成拒絕服務。(CVE-2014-0423)。

IBM Java 1.6.0 已更新至 SR14，可修正錯誤和安全性問題

另請參閱 http://www.ibm.com/developerworks/java/jdk/alerts/

下列錯誤也已修正：

- 新增 Europe/Busingen 到 tzmappings。(bnc#817062)

- 將 jre/bin 和 bin/ 中的檔案標記為可執行 (bnc#823034)

在 2D 元件原生影像剖析程式碼中找到多個輸入檢查瑕疵。利用特製的影像檔可觸發 Java 虛擬機器記憶體損毀，甚至可能以執行 Java 虛擬機器之使用者的權限，執行任意程式碼。(CVE-2013-5782)

類別載入器未正確檢查非公開 proxy 類別的套件存取權。遠端攻擊者可利用此瑕疵，以執行 Java 虛擬機器之使用者的權限執行任意程式碼。(CVE-2013-5830)

在 OpenJDK 的 2D、CORBA、JNDI 和程式庫元件中，發現多個不當權限檢查問題。未受信任的 Java 應用程式或 applet 可利用這些瑕疵繞過 Java Sandbox 限制。(CVE-2013-5829、CVE-2013-5814、CVE-2013-5817、CVE-2013-5842、CVE-2013-5850)

在 2D 元件的 JPEG 影像讀取和寫入程式碼中，發現多個輸入檢查瑕疵。未受信任的 Java 應用程式或 applet 可利用這些瑕疵，損毀 Java 虛擬機器記憶體，且可能繞過 Java Sandbox 限制。
(CVE-2013-5809)

javax.xml.transform 套件轉換器未正確接受 FEATURE_SECURE_PROCESSING 設定。遠端攻擊者可利用此瑕疵，提供一個特製 XML，處理時無須遵守預定的安全性限制。(CVE-2013-5802)

在 JAXP 和 Security 元件用於處理 XML 輸入的方式中發現多個錯誤。遠端攻擊者可建立特製的 XML，導致 Java 應用程式在處理時，使用過量的 CPU 和記憶體。(CVE-2013-5825、CVE-2013-4002、CVE-2013-5823)

在 OpenJDK 的 Libraries、Swing、JAX-WS、JGSS、AWT、Beans 和 Scripting 元件中，發現多個權限檢查不當問題。未受信任的 Java 應用程式或 applet 可利用這些瑕疵，繞過特定 Java Sandbox 限制。(CVE-2013-3829、 CVE-2013-5840、CVE-2013-5774、CVE-2013-5783、CVE-2013-5820、 CVE-2013-5849、CVE-2013-5790、CVE-2013-5784)

據發現，2D 元件影像程式庫在執行影像轉換時，未正確檢查邊界。未受信任的 Java 應用程式或 applet 可利用此瑕疵，洩漏部分 Java 虛擬機器記憶體。(CVE-2013-5778)

在 javadoc 中發現多個輸入清理瑕疵。若 javadoc 文件是由不受信任的 Java 原始碼產生，且是在未由程式碼作者所控制的網域上託管，這些問題可導致攻擊者更容易發動跨網站指令碼攻擊。
(CVE-2013-5804、CVE-2013-5797)

代表密碼編譯金鑰的各種 OpenJDK 類別，可在 toString() 方法傳回的字串中加入敏感資料，進而洩漏私密金鑰資訊。這些瑕疵可能導致未預期暴露敏感的金鑰資料。(CVE-2013-5780)

Java Heap Analysis Tool (jhat) 無法將新增至其產生之 HTML 頁面的所有資料正確逸出。在使用 jhat 分析的 Java 程式中，特製的記憶體內容可能遭到用來發動跨網站指令碼攻擊。(CVE-2013-5772)

OpenJDK 中的 Kerberos 實作未正確剖析 KDC 回應。格式錯誤的封包可導致使用 JGSS 的 Java 應用程式結束執行。(CVE-2013-5803)

現已提供適用於 Red Hat Enterprise Linux 5 和 6 的更新版 java-1.6.0-sun 套件，可修正數個安全性問題。

Red Hat 安全性回應團隊已將此更新評等為具有重要安全性影響。可針對每個弱點從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。

[更新於 2014 年 5 月 12 日] 此錯字勘誤表中的套件清單已更新，現已可在 Red Hat Network 上的 Oracle Java for Red Hat Enterprise Linux 6 Workstation x86_64 通道中使用套件。

Oracle Java SE 6 版包含 Oracle Java Runtime Environment 和 Oracle Java Software Development Kit。

此更新可修正 Oracle Java Runtime Environment 和 Oracle Java Software Development Kit 中的數個弱點。如需這些瑕疵的詳細資訊，請參閱 Oracle Java SE 重要修補程式更新公告頁面的＜參照＞一節內容。(CVE-2013-1500、CVE-2013-1571、CVE-2013-2407、CVE-2013-2412、CVE-2013-2437、CVE-2013-2442、CVE-2013-2443、CVE-2013-2444、CVE-2013-2445、CVE-2013-2446、CVE-2013-2447、CVE-2013-2448、CVE-2013-2450、CVE-2013-2451、CVE-2013-2452、CVE-2013-2453、CVE-2013-2454、CVE-2013-2455、CVE-2013-2456、CVE-2013-2457、CVE-2013-2459、CVE-2013-2461、CVE-2013-2463、CVE-2013-2464、CVE-2013-2465、CVE-2013-2466、CVE-2013-2468、CVE-2013-2469、CVE-2013-2470、CVE-2013-2471、CVE-2013-2472、CVE-2013-2473、CVE-2013-3743、CVE-2013-3829、CVE-2013-4002、CVE-2013-5772、CVE-2013-5774、CVE-2013-5776、CVE-2013-5778、CVE-2013-5780、CVE-2013-5782、CVE-2013-5783、CVE-2013-5784、CVE-2013-5787、CVE-2013-5789、CVE-2013-5790、CVE-2013-5797、CVE-2013-5801、CVE-2013-5802、CVE-2013-5803、CVE-2013-5804、CVE-2013-5809、CVE-2013-5812、CVE-2013-5814、CVE-2013-5817、CVE-2013-5818、CVE-2013-5819、CVE-2013-5820、CVE-2013-5823、CVE-2013-5824、CVE-2013-5825、CVE-2013-5829、CVE-2013-5830、CVE-2013-5831、CVE-2013-5832、CVE-2013-5840、CVE-2013-5842、CVE-2013-5843、CVE-2013-5848、CVE-2013-5849、CVE-2013-5850、CVE-2013-5852、CVE-2013-5878、CVE-2013-5884、CVE-2013-5887、CVE-2013-5888、CVE-2013-5889、CVE-2013-5896、CVE-2013-5898、CVE-2013-5899、CVE-2013-5902、CVE-2013-5905、CVE-2013-5906、CVE-2013-5907、CVE-2013-5910、CVE-2013-6629、CVE-2013-6954、CVE-2014-0368、CVE-2014-0373、CVE-2014-0375、CVE-2014-0376、CVE-2014-0387、CVE-2014-0403、CVE-2014-0410、CVE-2014-0411、CVE-2014-0415、CVE-2014-0416、CVE-2014-0417、CVE-2014-0418、CVE-2014-0422、CVE-2014-0423、CVE-2014-0424、CVE-2014-0428、CVE-2014-0429、CVE-2014-0446、CVE-2014-0449、CVE-2014-0451、CVE-2014-0452、CVE-2014-0453、CVE-2014-0456、CVE-2014-0457、CVE-2014-0458、CVE-2014-0460、CVE-2014-0461、CVE-2014-1876、CVE-2014-2398、CVE-2014-2401、CVE-2014-2403、CVE-2014-2409、CVE-2014-2412、CVE-2014-2414、CVE-2014-2420、CVE-2014-2421、CVE-2014-2423、CVE-2014-2427、CVE-2014-2428)

建議所有 java-1.6.0-sun 使用者皆升級至這些更新版套件，其中提供 Oracle Java 6 Update 75，並可解決這些問題。必須重新啟動 Oracle Java 所有執行中的執行個體，此更新才會生效。

icedtea 2.4.3 的更新 (bnc#846999) 與上游 u45 b31 同步的 OpenJDK 7 支援可修正以下問題：

- S8006900、CVE-2013-3829：新增日期/時間功能

- S8008589：改善 MBean 權限驗證

- S8011071、CVE-2013-5780：改善加密提供者處理

- S8011081、CVE-2013-5772：改善 jhat

- S8011157、CVE-2013-5814：改善 CORBA 可攜性

- S8012071、CVE-2013-5790：改善 Beans 的構建

- S8012147：改善工具支援

- S8012277：CVE-2013-5849：改善 AWT DataFlavor

- S8012425、CVE-2013-5802：轉換 TransformerFactory

- S8013503、CVE-2013-5851：改善資料流工廠

- S8013506：改善 Pack200 資料處理

- S8013510、CVE-2013-5809：增強影像寫入程式碼

- S8013514：改善 cmap 類別的穩定性

- S8013739、CVE-2013-5817：改善 LDAP 資源管理

- S8013744、CVE-2013-5783：改善 AWT 的製表功能

- S8014085：改善 JMX 類別的序列化支援

- S8014093、CVE-2013-5782：改善影像的剖析

- S8014098：改善設定檔驗證

- S8014102、CVE-2013-5778：改善影像轉換

- S8014341、CVE-2013-5803：改善來自 Kerberos 伺服器的服務

- S8014349、CVE-2013-5840：(cl) Class.getDeclaredClass 在某些類別載入器組態中有問題

- S8014530、CVE-2013-5825：改善數位簽章處理

- S8014534：改善分析支援

- S8014987、CVE-2013-5842：增強序列化處理

- S8015614：更新 build 設定

- S8015731：使 java.security.auth.subject 套用改善項目

- S8015743、CVE-2013-5774：處理網際網路位址

- S8016256：使完成項為最終項目

- S8016653、CVE-2013-5804：javadoc 應忽略名稱中的可忽略字元

- S8016675、CVE-2013-5797：使 Javadoc 頁面更健全

- S8017196、CVE-2013-5850：確認正確處理 Proxy

- S8017287、CVE-2013-5829：改善資源棄置

- S8017291、CVE-2013-5830：棄置 Proxy

- S8017298、CVE-2013-4002：改善 XML 支援

- S8017300、CVE-2013-5784：改善介面實作

- S8017505、CVE-2013-5820：改善用戶端服務

- S8019292：改善屬性值例外狀況

- S8019617：改善物件檢視

- S8020293：JVM 當機

- S8021275、CVE-2013-5805：改善 ScreenMenu 的過濾

- S8021282、CVE-2013-5806：改善物件執行個體的回收

- S8021286：改善 MacOS 資源處理

- S8021290、CVE-2013-5823：改善簽章驗證

- S8022931、CVE-2013-5800：增強 Kerberos 例外狀況

- S8022940：增強 CORBA 轉譯

- S8023683：增強類別檔案剖析

- 反向移植

- S6614237：在 java 運行時間遺漏程式碼頁面 Cp290

- S8005932：mac os x 上的 Java 7 只提供文字剪貼簿格式

- S8014046：(處理程序) 在命令含有空格的情況下，Runtime.exec(String) 會失敗 [win]

- S8015144：ICU OpenType Layout 程式庫中的效能迴歸

- S8015965：(處理程序) 內容名稱中的錯字，允許模糊的命令

- S8015978：XPath 運算式 'string(-0)' 的不正確轉換

- S8016357：更新熱點診斷類別

- S8019584：
javax/management/remote/mandatory/loading/MissingClassTe st.java 在夜間防 jdk7u45 攻擊失敗：
java.io.InvalidObjectException：通知無效：
NULL

- S8019969：
nioNetworkChannelInet6/SetOptionGetOptionTestInet6 測試案例損毀

- S8020032：7u fastdebug 未產生 fastdebuginfo 檔案

- S8020085：7u45 的 Linux ARM 版本失敗

- S8020088：增加適用於 7u45 的微調版本 HSx，並初始化版本編號

- S8020551：針對 7u45-b03 將 hsx 版本遞增至 b03

- S8020943：GCNotifier 使用 create_from_platform_dependent_str() 時的記憶體洩漏

- S8021287：改善 MacOS 資源處理

- S8021355：REGRESSION：在 Linux、Solaris 上的 7u45 b01 之後，有五個 closed/java/awt/SplashScreen 測試失敗

- S8021360：透過安全性管理員啟動 RMI-IIOP 通訊協定的 JMXConnectorServer 時，並未匯出物件

- S8021366：
java_util/Properties/PropertiesWithOtherEncodings 在 7u45 夜間測試時失敗

- S8021577：JCK 測試 api/javax_management/jmx_serial/modelmbean/ModelMBeanNotificationInfo/serial/index.html#Input 在 jdk 7u45 b01 後失敗

- S8021899：在合併 7u40 後重新調整 7u45 中的 # 8020498 修正

- S8021901：針對 7u45-b05 將 hsx 版本遞增至 b05

- S8021933：新增 # JDK-8014530 修正的額外檢查

- S8021969：記錄擲回例外狀況時，index_AccessAllowed jnlp 無法成功載入。

- S8022066：簽章多形方法的方法參照評估會使 VM 當機

- S8022086：修正新增檔案的授權

- S8022254：移除 jdk7u-cpu forest 中不正確的 jdk7u45-b05 標籤

- S8022661：InetAddress.writeObject() 在物件輸出資料流上執行 flush()

- S8022682：支援 XOM

- S8022808：Kitchensink 在 macos 上懸置

- S8022856：7u45 l10n 資源檔案轉譯更新

- S8023323：針對 7u45-b06 將 hsx 版本遞增至 b08

- S8023457：事件型追蹤架構需要執行緒群組的 mutex

- S8023478：GCNotifier 的測試因 HS 損毀而失敗。

- S8023741：針對 7u45-b09 將 hsx 24.45 版本遞增至 b07

- S8023771：若是為了新增字串至 java -version 而設定 USER_RELEASE_SUFFIX，套件組合名稱的版本編號不應改為 b00

- S8023888：針對 7u45-b10 將 hsx 24.45 版本遞增至 b08

- S8023964：java/io/IOException/LastErrorString.java 應為 @ignore-d

- S8024369：對 7u40-b61 psu 的 hs24.0 至 b57 之遞增版本編號

- S8024668：
api/java_nio/charset/Charset/index.html#Methods JCK-runtime 測試因 7u45 b11 而失敗

- S8024697：8020983 的修正造成 Xcheck:jni 警告

- S8024863：X11：將 GNOME Shell 視為 mutter 加以支援

- S8024883：在 fd >= 64k (lnx) 的情況下，(se) SelectableChannel.register 會擲回 NPE

- S8025128：在前置詞是絕對路徑時，File.createTempFile 會失敗

- S8025170：9/19 後的 jdk7u51 7u-1-prebuild 會失敗

- 錯誤修正

- PR1400：已最大化的 AWT 視窗選單在 Mate 中無法運作

- 更新至 IcedTea 2.4.2

- System LCMS 2 支援重新預設啟用，此需要 2.5 版或更新版本。

- OpenJDK

- S7122222：GC 記錄針對 32 位元限為 2G

- S7162400：Intermittent java.io.IOException：HotSpotVirtualMachine.executeCommand 期間的錯誤檔案編號

- S7165807：NSS 密碼編譯程式庫的未最佳化初始化會導致延展性問題

- S7199324：IPv6：JMXConnectorServer.getConnectionIDs() 傳回 ID 否定來解決語法

- S8001345：VM 因 assert(n->outcnt() != 0 || C->top() == n || n->is_Proj()) 失敗而當機：配置後沒有無作用的指示

- S8001424：G1：重新命名某些 G1 特定旗標

- S8001425：G1：變更某些 G1 特定旗標的預設值

- S8004859：根據轉換而異，Graphics.getClipBounds/getClip 會傳回差異非等同邊界

- S8005019：JTable 在插入選取間隔時會傳遞列索引，而非長度

- S8005194：[parfait] #353 sun/awt/image/jpeg/imageioJPEG.c 以 calloc() 配置的指標 'scale' 記憶體洩漏

- S8006941：[macosx] 拖放中的鎖死

- S8007898：Matcher::post_store_load_barrier() 中不正確的記憶體障礙最佳化

- S8009168：accessibility.properties 語法問題

- S8009985：[parfait] jdk/src/solaris/native/com/sun/management/UnixOperatingSystem_md.c 中的未初始化變數

- S8011064：某些測試因 b82 版本上 arm-hflt 的 SIGSEGV 而失敗

- S8011569：ARM -- 避免原生堆疊執行

- S8011760：assert(delta != 0) 失敗：MemBaseline::malloc_sort_by_addr 中的 dup 指標

- S8012144：staxf 上的多個 SIGSEGV 失敗

- S8012156：win32/64 的 tools/javac/file/zip/T6865530.java 失敗

- S8012241：NMT 大量記憶體使用量，這通常會導致 OOME

- S8012366：若只構建 OpenJDK (而無部署及安裝 forest)，8007815 的修正會中斷

- S8013546：compiler/8011901/Test8011901.java 因 CompilationError 而失敗：編譯失敗

- S8013719：hs23.21 至 b02 的遞增版本編號

- S8013791：G1：G1CollectorPolicy::initialize_flags() 可能設定 min_alignment > max_alignment

- S8014264：一旦點選下拉式核取方塊，applet pathguy_TimeDead 會在 java 主控台中擲回 java.lang.NullPointerException。

- S8014312：從 jdk7u25 的 hs23.21 分支 hs23.25 hsx，以及重新初始化版本編號

- S8014805：若憑證沒有 AuthorityKeyIdentifier 延伸模組，NPE 會在 certpath 驗證期間擲回

- S8014850：7u40 的 Third-Party License Readme 更新

- S8014925：停用 sun.reflect.Reflection.getCallerClass(int)，其有暫時開關可以加以重新啟用

- S8015237：強式 root 處理時將字串表格掃描平行化

- S8015411：針對客戶升級 7u21-b50 的 hsx 版本編號

- S8015441：runThese 因 assert(opcode == Op_ConP || opcode == Op_ThreadLocal || opcode == Op_CastX2P ..) 失敗而損毀：功能健全

- S8015576：CMS：svc 代理程式擲回 java.lang.RuntimeException：資料庫中沒有名為 'FreeList' 的類型

- S8015668：過載解析：JDK 7 中的效能迴歸

- S8015884：runThese 因 SIGSEGV 而損毀，hs_err 存有一個錯誤而非堆疊追蹤

- S8016074：NMT：宣告失敗：
assert(thread->thread_state() == from) 失敗：來自錯誤的執行緒狀態

- S8016102：對 7u25-b31 psu 的 hs23.25 至 b02 之遞增版本編號

- S8016131：nsk/sysdict/vm/stress/chain 測試使 'entry_frame_is_first()' 中的 VM 當機

- S8016133：迴歸：具有使用者定義之 SAXParser 的 diff. 行為

- S8016157：在 CTW 期間：C2：
assert(!def_outside->member(r)) 失敗：外部 LRG 的使用覆蓋此區塊中定義的相同 LRG

- S8016331：事件追蹤詮釋資料中的輕微問題

- S8016648：設為 true 或 false 的 FEATURE_SECURE_PROCESSING 造成 SAXParseException 擲回

- S8016734：因推撥重複而將額外的程式碼移除

- S8016737：點選「未自動分頁列印」按鈕後，會依「第 1 頁」、「第 2 頁」、「第 1 頁」的順序列印

- S8016740：GC_locker 中來自 PSOldGen::expand 的宣告，具有
-XX:+PrintGCDetails 和 Verbose

- S8016767：提供從 OpenJDK 的 DARB 產生的手冊頁

- S8017070：G1：assert(_card_counts[card_num] <= G1ConcRSHotCardLimit) 失敗

- S8017159：取消排除 sun/tools/JMAP/Basic.sh 測試

- S8017173：具有 RSA_OAEP Key Transport 演算法的 XMLCipher 無法具現化

- S8017174：使用 Logger.getAnonymousLogger 或 LogManager.getLogManager().getLogger 時出現 NPE

- S8017189：[macosx] Mac 上停用 AWT 程式選單

- S8017252：新增熱點版本 - hs24-b51

- S8017478：Kitchensink 因 BaselineReporter::diff_callsites 中的 SIGSEGV 而損毀

- S8017483：在增加 HeapBaseMinAddress 後，G1 測試因 Solaris x86 中的原生 OOME 而失敗

- S8017510：新增 8005956 的迴歸測試

- S8017566：退出 8000450 - 無法存取 com.sun.corba.se.impl.orb.ORBImpl

- S8017588：SA：附加至以 CMS GC 啟動的 java 核心檔案時，jstack -l 會擲回 UnalignedAddressException

- S8019155：以正確的 jfr 套件更新 Makefile

- S8019201：迴歸：java.awt.image.ConvolveOp 擲回 java.awt.image.ImagingOpException

- S8019236：[macosx] 新增 javadoc 至 CEmbeddedFrame 中的 handleWindowFocusEvent

- S8019265：[macosx] apple.laf.useScreenMenuBar 與 jdk6 比較發聲迴歸

- S8019298：新增熱點版本 - hs24-b52

- S8019381：HashMap.isEmpty 並非 get/remove 的最終潛在問題

- S8019541：7u40 l10n 資源檔案轉譯更新

- S8019587：[macosx] 為不同畫面設定相同框架的可能性

- S8019625：測試 compiler/8005956/PolynomialRoot.java 在 Solaris SPARC 上逾時

- S8019628：[macosx] 在 MacOS 上，7u40b30 後的 closed/java/awt/Modal/BlockedMouseInputTest/BlockedMouse InputTest.html 會失敗

- S8019826：測試 com/sun/management/HotSpotDiagnosticMXBean/SetVMOption.java 因 NPE 而失敗

- S8019933：新增熱點版本 - hs24-b53

- S8019979：從關閉的存放庫將 CheckPackageAccess 測試取代為較好的測試

- S8020038：[macosx] invokeLater() 的使用不正確，且從 AppKit 執行緒透過 JNI 呼叫的回呼也有類似情形

- S8020054：(tz) 支援 tzdata2013d

- S8020155：當有非常龐大的配置干擾時，PSR:PERF G1 不會收集舊的區域

- S8020215：使用 JIT 和解譯器時的執行計畫不同

- S8020228：還原 logging_xx.properties 的轉譯版本

- S8020298：[macosx] lwawt 程式碼中的合併不正確

- S8020319：更新 7u40 的日文手冊頁

- S8020371：[macosx] 具有拖放功能的 applet 因 IllegalArgumentException 而失敗

- S8020381：新增熱點版本 - hs24-b54

- S8020425：在次要版本中不當移除的產品選項

- S8020430：2013 年 7 月 12 日 xml sqe 晚間結果的 NullPointerException

- S8020433：使用 -XX:+RestoreMXCSROnJNICalls 時當機

- S8020498：同時載入 libnet.so 和 libmawt.so 時當機

- S8020525：對 7u25-b34 psu 的 hs23.25 至 b03 之遞增版本編號

- S8020547：事件型追蹤需要 UNICODE 字串類型

- S8020625：[TESTBUG] java/util/HashMap/OverrideIsEmpty.java 未針對 jdk7u 進行編譯

- S8020701：避免 WatcherThread 中的損毀

- S8020796：新增熱點版本 - hs24-b55

- S8020811：[macosx] 合併錯誤 7u25-7u40：遺漏的焦點修正 JDK-8012330

- S8020940：有效 OCSP 回應因追溯查詢而遭到拒絕

- S8020983：非記憶體回收 JPEGImageWriter 執行個體造成的 OutOfMemoryError

- S8021008：提供 Mac 的 java 和 jcmd 手冊頁 (OpenJDK)

- S8021148：7u40 b34 中的 SAXParserImpl 迴歸 (NPE)

- S8021353：事件型追蹤遺漏執行緒結束

- S8021381：Swing JDialog 隨附的 JavaFX 情境未從 Web Start 啟動

- S8021565：新增熱點版本 - hs24-b56

- S8021771：在 OSX 10.7.5 上構建時，警告 stat64 已過時

- S8021946：預設停用 sun.reflect.Reflection.getCallerCaller(int) 會使數個架構和程式庫中斷

- S8022548：SPECJVM2008 具有 7u40-b34 中引入的錯誤

- S8023751：需要移除 8020943，已推撥至 hs24 而未核准

- S8024914：在 bitMap.inline.hpp 中切換使用 idx_t 和 bm_word_t 類型

- 新功能

- RH991170：java 未使用正確的 kerberos 認證快取

- PR1536：允許使用系統 Kerberos 來取得快取位置

- PR1551：新增 Zero AArch64 的版本支援

- PR1552：新增 ARM 架構的 -D_LITTLE_ENDIAN。

- PR1553：新增 Debian AArch64 支援

- PR1554：修正 Mac OS X 上的版本

- 錯誤修正

- RH661505：具有 sRGB IEC61966-2.1 色彩設定檔的 JPEG 帶有錯誤的顏色

- RH995488：Java 認為預設時區為 Busingen，而非 Zurich

- 在 TimeZone_md 中適當移除檔案資源。

- PR1410：Icedtea 2.3.9 無法使用 icedtea 1.12.4 構建

- G477456：emerge 在 pax system 上失敗：java 嘗試 RWX 對應，paxctl -m 遺漏

- G478484：patches/boot/ecj-diamond.patch 失敗

- 修正在 8016131 中變更 entry_frame_call_wrapper 後的 Zero

- 設定 flags.make 中的 ZERO_BUILD，使其在重新構建時設定

- 轉換應使用與 GCDrainStackTargetSize 相同的類型 (uintx)。

- 新增轉換以修正 S390 上的版本

- JamVM

- JSR292：叫用 Dynamic

- sun.misc.Unsafe：其他方法 get/putAddress：
允許 JamVM with OpenJDK 7/8 執行 JEdit 的最新版本。

- FreeClassData：調整 Miranda 方法的方法計數

- 修補程式變更 (多數與 Fedora 同步)

- 移除 java-1.7.0-openjdk-arm-fixes.patch，其已在上游修正

- 移除 java-1.7.0-openjdk-fork.patch，其已在上游修正

- 將 java-1.7.0-openjdk-bitmap.patch 重新命名為 zero-s8024914.patch

- 將 java-1.7.0-openjdk-size_t.patch 重新命名為 zero-size_t.patch

- 新增 PStack-808293.patch

- 新增 RH661505-toBeReverted.patch

- 新增 abrt_friendly_hs_log_jdk7.patch

- 新增 gstackbounds.patch

- 新增 java-1.7.0-openjdk-freetype-check-fix.patch

- 新增 pulse-soundproperties.patch

- 新增 rhino.patch

- 新增 zero-entry_frame_call_wrapper.patch

- 新增 zero-gcdrainstacktargetsize.patch

- 新增 zero-zero_build.patch

ID	名稱	產品	系列	已發布	已更新	嚴重性
70967	Mandriva Linux 安全性公告：java-1.7.0-openjdk (MDVSA-2013:267)	Nessus	Mandriva Local Security Checks	2013/11/20	2021/1/6	critical
73969	IBM Domino 8.0.x / 8.5.x / 9.0.x 含 IBM Java < 1.6 SR15 FP1 多個弱點 (經認證的檢查)	Nessus	Windows	2014/5/12	2019/11/26	critical
242323	IBM EngineeringRequirements Management DOORS 9.7.2.9 < 9.7.2.10 多個弱點 (7238992)	Nessus	Windows	2025/7/18	2026/3/27	medium
291471	MiracleLinux 3 java-1.6.0-openjdk-1.6.0.0-1.42.1.11.14.0.1.AXS3 (AXSA:2013-683:04)	Nessus	Miracle Linux Local Security Checks	2026/1/19	2026/1/19	medium
71171	SuSE 11.2 安全性更新：OpenJDK 1.6 (SAT 修補程式編號 8598)	Nessus	SuSE Local Security Checks	2013/12/3	2021/1/19	critical
289213	MiracleLinux 4xerces-j2-2.7.1-12.7.AXS4 (AXSA:2014-577:01)	Nessus	Miracle Linux Local Security Checks	2026/1/16	2026/1/16	medium
77791	Fedora 21 : xerces-j2-2.11.0-22.fc21 (2014-10617)	Nessus	Fedora Local Security Checks	2014/9/23	2021/1/11	high
77978	Oracle Linux 6 / 7 : xerces-j2 (ELSA-2014-1319)	Nessus	Oracle Linux Local Security Checks	2014/9/30	2024/11/1	medium
79117	RHEL 7：JBoss EAP (RHSA-2014:1822)	Nessus	Red Hat Local Security Checks	2014/11/11	2021/1/14	high
70571	CentOS 6 : java-1.7.0-openjdk (CESA-2013:1451)	Nessus	CentOS Local Security Checks	2013/10/24	2021/1/4	critical
72117	Ubuntu 12.10 / 13.04 / 13.10：openjdk-7 弱點 (USN-2089-1)	Nessus	Ubuntu Local Security Checks	2014/1/24	2021/1/19	critical
69072	SuSE 10 安全性更新：java-1_6_0-ibm (ZYPP 修補程式編號 8657)	Nessus	SuSE Local Security Checks	2013/7/26	2022/3/29	critical
70908	Amazon Linux AMI : java-1.6.0-openjdk (ALAS-2013-246)	Nessus	Amazon Linux Local Security Checks	2013/11/14	2019/7/10	critical
79011	RHEL 5 / 6：java-1.6.0-sun (RHSA-2014:0414)	Nessus	Red Hat Local Security Checks	2014/11/8	2023/4/25	medium
75196	openSUSE 安全性更新：java-1_7_0-openjdk (openSUSE-SU-2013:1663-1)	Nessus	SuSE Local Security Checks	2014/6/13	2021/1/19	critical

偵測

搜尋 Plugin

critical

critical

medium

medium

critical

medium

high

medium

high

critical

critical

critical

critical

medium

critical