安全性修正：

- 在 OpenJDK 的 Serialization 和 Hotspot 元件中發現多個瑕疵。未受信任的 Java 應用程式或 applet 可利用這些瑕疵完全繞過 Java Sandbox 限制。
 (CVE-2016-0686、CVE-2016-0687)

- 據發現，OpenJDK 之 JMX 元件中的 RMI 伺服器實作未限制還原序列化驗證認證時可還原序列化的類別。能夠連線至 JMX 連接埠的未經驗證遠端攻擊者可能利用此瑕疵觸發還原序列化瑕疵。
 (CVE-2016-3427)

- 據發現，OpenJDK 中的 JAXP 元件無法正確處理作為 XML 屬性值的一部分使用的 Unicode 替代組。特製的 XML 輸入可造成 Java 應用程式在剖析時使用過量記憶體。(CVE-2016-3425)

- 據發現，OpenJDK 中 JCE 元件的 GCM (Galois/計數器模式) 實作在比較 GCM 驗證標籤時使用非常數時間比較。遠端攻擊者可能利用此瑕疵確定驗證標籤的值。(CVE-2016-3426)

- 據發現，OpenJDK 中的 Security 元件在產生 DSA 簽章時無法檢查摘要演算法強度。使用比金鑰強度弱的摘要可導致產生比預期弱的簽章。
 (CVE-2016-0695)

現已提供適用於 Red Hat Enterprise Linux 5 與 Red Hat Enterprise Linux 7 的 java-1.7.0-openjdk 更新。

Red Hat 產品安全性團隊已將此更新評等為具有重大安全性影響。可從〈參照〉一節的 CVE 連結中取得每個弱點之常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。

Java-1.7.0-openjdk 套件提供 OpenJDK 7 Java Runtime Environment 和 OpenJDK 7 Java Software Development Kit。

安全性修正：

* 在 OpenJDK 的 Serialization 和 Hotspot 元件中發現多個瑕疵。未受信任的 Java 應用程式或 applet 可利用這些瑕疵完全繞過 Java Sandbox 限制。
(CVE-2016-0686、CVE-2016-0687)

* 據發現，OpenJDK 之 JMX 元件中的 RMI 伺服器實作未限制還原序列化驗證認證時可還原序列化的類別。能夠連線至 JMX 連接埠的未經驗證遠端攻擊者可能利用此瑕疵觸發還原序列化瑕疵。(CVE-2016-3427)

* 據發現，OpenJDK 中的 JAXP 元件無法正確處理作為 XML 屬性值的一部分使用的 Unicode 替代組。特製的 XML 輸入可造成 Java 應用程式在剖析時使用過量記憶體。
(CVE-2016-3425)

* 據發現，OpenJDK 中的安全性元件在產生 DSA 簽章時無法檢查摘要演算法強度。
使用比金鑰強度弱的摘要可導致產生比預期弱的簽章。
(CVE-2016-0695)

遠端 Redhat Enterprise Linux 7 主機上安裝的套件受到 RHSA-2016:0676 公告中提及的多個弱點影響。

    java-1.7.0-openjdk 套件提供 OpenJDK 7 Java Runtime Environment 與 OpenJDK 7 Java Software Development Kit。

    安全性修正:

    * 在 OpenJDK 的 Serialization 和 Hotspot 元件中發現多個缺陷。未受信任的 Java 應用程式或 applet 可利用這些缺陷完全繞過 Java Sandbox 限制。
    (CVE-2016-0686、CVE-2016-0687)

    * 據發現，OpenJDK 之 JMX 元件中的 RMI 伺服器實作未限制還原序列化驗證認證時可還原序列化的類別。能夠連線至 JMX 連接埠的未經驗證遠端攻擊者可能利用此缺陷觸發還原序列化缺陷。
    (CVE-2016-3427)

    * 據發現，OpenJDK 中的 JAXP 元件無法正確處理作為 XML 屬性值的一部分使用的 Unicode 替代組。特製的 XML 輸入可造成 Java 應用程式在剖析時使用過量記憶體。(CVE-2016-3425)

    * 據發現，OpenJDK 中的安全性元件在產生 DSA 簽章時無法檢查摘要演算法強度。若使用強度低於金鑰等級的摘要，可能產生低於預期強度的簽章。(CVE-2016-0695)

Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

此 java-1_8_0-openjdk 更新可修正下列安全性問題
- 2016 年 4 月 Oracle CPU (bsc#976340)：

- CVE-2016-0686：不明弱點允許遠端攻擊者透過與序列化相關的向量，影響機密性、完整性和可用性。 

 - CVE-2016-0687：不明弱點允許遠端攻擊者透過與 Hotspot 子元件相關的向量，影響機密性、完整性和可用性

- CVE-2016-0695：不明弱點允許遠端攻擊者透過與安全性元件相關的向量，影響機密性

- CVE-2016-3425：不明弱點允許遠端攻擊者透過與 JAXP 相關的向量，影響可用性

- CVE-2016-3426：不明弱點允許遠端攻擊者透過與 JCE 相關的向量，影響機密性

- CVE-2016-3427：不明弱點允許遠端攻擊者透過與 JMX 相關的向量，影響機密性、完整性和可用性

此 java-1_8_0-openjdk 更新可修正下列安全性問題
- 2016 年 4 月 Oracle CPU (bsc#976340)：

- CVE-2016-0686：不明弱點允許遠端攻擊者透過與序列化相關的向量，影響機密性、完整性和可用性。 

 - CVE-2016-0687：不明弱點允許遠端攻擊者透過與 Hotspot 子元件相關的向量，影響機密性、完整性和可用性

- CVE-2016-0695：不明弱點允許遠端攻擊者透過與安全性元件相關的向量，影響機密性

- CVE-2016-3425：不明弱點允許遠端攻擊者透過與 JAXP 相關的向量，影響可用性

- CVE-2016-3426：不明弱點允許遠端攻擊者透過與 JCE 相關的向量，影響機密性

- CVE-2016-3427：不明弱點允許遠端攻擊者透過與 JMX 相關的向量，影響機密性、完整性和可用性

此更新是從 SUSE:SLE-12-SP1:Update 更新專案匯入。

此 java-1_7_0-openjdk 的更新為 2.6.6 版，修正五個安全性問題。

已修正這些安全性問題：

- CVE-2016-0686：確保執行緒一致性 (bsc#976340)。

- CVE-2016-0687：更完善的位元組行為 (bsc#976340)。

- CVE-2016-0695：讓 DSA 更公平 (bsc#976340)。

- CVE-2016-3425：更完善的 XML 字串緩衝 (bsc#976340)。

- CVE-2016-3427：改善 JMX 連線 (bsc#976340)。

請注意，Tenable Network Security 已直接從 SUSE 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

此 java-1_8_0-openjdk 更新可修正下列安全性問題
- 2016 年 4 月 Oracle CPU (bsc#976340)：

- CVE-2016-0686：不明弱點允許遠端攻擊者透過與序列化相關的向量，影響機密性、完整性和可用性。

- CVE-2016-0687：不明弱點允許遠端攻擊者透過與 Hotspot 子元件相關的向量，影響機密性、完整性和可用性

- CVE-2016-0695：不明弱點允許遠端攻擊者透過與安全性元件相關的向量，影響機密性

- CVE-2016-3425：不明弱點允許遠端攻擊者透過與 JAXP 相關的向量，影響可用性

- CVE-2016-3426：不明弱點允許遠端攻擊者透過與 JCE 相關的向量，影響機密性

- CVE-2016-3427：不明弱點允許遠端攻擊者透過與 JMX 相關的向量，影響機密性、完整性和可用性

請注意，Tenable Network Security 已直接從 SUSE 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

遠端主機上安裝的 VMware vCenter Server 版本為 5.0u3e 之前的 5.0.x 版、5.1u3b 之前的 5.1.x 版、5.5u3 之前的 5.5.x 版 (Linux)、5.5u3b 之前的 5.5.x 版 (Windows) 或是 6.0.0b 之前的 6.0.x 版。
因此在還原序列化驗證認證時受到 Oracle JMX 中的一個瑕疵影響。未經驗證的遠端攻擊者可利用此弱點執行任意程式碼。

現已提供適用於 Oracle Java for Red Hat Enterprise Linux 5、Oracle Java for Red Hat Enterprise Linux 6 和 Oracle Java for Red Hat Enterprise Linux 7 的 java-1.7.0-oracle 更新。

Red Hat 產品安全性團隊已將此更新評等為具有重大安全性影響。可從〈參照〉一節的 CVE 連結中取得每個弱點之常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。

Oracle Java SE 7 版包含 Oracle Java Runtime Environment 和 Oracle Java Software Development Kit。

此更新會將 Oracle Java SE 7 升級至版本 7 Update 101。

安全性修正：

* 此更新可修正 Oracle Java Runtime Environment 和 Oracle Java Software Development Kit 中的多個弱點。
如需這些瑕疵的詳細資訊，請參閱 Oracle Java SE 重要修補程式更新公告頁面的＜參照＞一節內容。(CVE-2016-0686、CVE-2016-0687、CVE-2016-0695、CVE-2016-3422、CVE-2016-3425、CVE-2016-3427、CVE-2016-3443、CVE-2016-3449)

現已提供適用於 Red Hat Enterprise Linux 6 Supplementary 和 Red Hat Enterprise Linux 7 Supplementary 的 java-1.7.1-ibm 更新。

Red Hat 產品安全性團隊已將此更新評等為具有重大安全性影響。可從〈參照〉一節的 CVE 連結中取得每個弱點之常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。

IBM Java SE 版本 7 發行版本 1 包含 IBM Java Runtime Environment 和 IBM Java Software Development Kit。

此更新會將 IBM Java SE 7 升級至 7R1 SR3-FP40 版。

安全性修正：

* 此更新可修正 IBM Java Runtime Environment 和 IBM Java Software Development Kit 中的多個弱點。有關這些瑕疵的進一步資訊，請查閱〈參照〉一節所列的「IBM Java 安全性警示」頁面連結內容。(CVE-2016-0264、CVE-2016-0363、CVE-2016-0376、CVE-2016-0686、CVE-2016-0687、CVE-2016-3422、CVE-2016-3426、CVE-2016-3427、CVE-2016-3443、CVE-2016-3449)

遠端 Redhat Enterprise Linux 6 主機上安裝的套件受到 RHSA-2016:1039 公告中提及的多個弱點影響。

    IBM Java SE 版本 8 包含 IBM Java Runtime Environment 和 IBM Java Software Development Kit。

    此更新會將 IBM Java SE 8 升級至 8 SR3 版。

    安全性修正:

    * 此更新可修正 IBM Java Runtime Environment 和 IBM Java Software Development Kit 中的多個弱點。有關這些缺陷的進一步資訊，請查閱〈參考資料〉一節所列的「IBM Java 安全性警示」頁面連結內容。(CVE-2016-0264、CVE-2016-0363、CVE-2016-0376、CVE-2016-0686、CVE-2016-0687、CVE-2016-3422、CVE-2016-3426、CVE-2016-3427、CVE-2016-3443、CVE-2016-3449)

Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

此 IBM Java 1.6.0 SR16 FP25 版本可修正下列問題：

修正的安全性問題：

CVE-2016-0264：IBM JVM 中的緩衝區溢位弱點 (bsc#977648)

CVE-2016-0363：CORBA 元件中叫用方法的不安全使用，不正確的 CVE-2013-3009 修正 (bsc#977650)

CVE-2016-0376：CORBA 中不安全的還原序列化，不正確的 CVE-2013-5456 修正 (bsc#977646)

下列 CVE 也已在此更新期間得到修正。(bsc#979252) CVE-2016-3443、CVE-2016-0687、CVE-2016-0686、CVE-2016-3427、CVE-2016-3449、CVE-2016-3422、CVE-2016-3426

請注意，Tenable Network Security 已直接從 SUSE 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

ID	名稱	產品	系列	已發布	已更新	嚴重性
90617	Scientific Linux 安全性更新：SL6.x i386/x86_64 上的 java-1.8.0-openjdk	Nessus	Scientific Linux Local Security Checks	2016/4/21	2023/5/14	critical
90637	CentOS 5 / 7：java-1.7.0-openjdk (CESA-2016:0676)	Nessus	CentOS Local Security Checks	2016/4/22	2023/5/14	critical
90669	RHEL 7: java-1.7.0-openjdk (RHSA-2016:0676)	Nessus	Red Hat Local Security Checks	2016/4/22	2025/4/15	critical
90906	openSUSE 安全性更新：java-1_8_0-openjdk (openSUSE-2016-554)	Nessus	SuSE Local Security Checks	2016/5/5	2023/5/14	critical
90984	openSUSE 安全性更新：java-1_8_0-openjdk (openSUSE-2016-572)	Nessus	SuSE Local Security Checks	2016/5/9	2023/5/14	critical
90993	SUSE SLED12 / SLES12 安全性更新：java-1_7_0-openjdk (SUSE-SU-2016:1250-1)	Nessus	SuSE Local Security Checks	2016/5/9	2024/6/18	critical
90992	SUSE SLED12 / SLES12 安全性更新：java-1_8_0-openjdk (SUSE-SU-2016:1248-1)	Nessus	SuSE Local Security Checks	2016/5/9	2024/6/18	critical
91322	VMware vCenter Server 5.0.x < 5.0u3e / 5.1.x < 5.1u3b / 5.5.x < 5.5u3 (Linux) / 5.5.x < 5.5u3b (Windows) / 6.0.x < 6.0.0b JMX 還原序列化 RCE (VMSA-2016-0005)	Nessus	Misc.	2016/5/25	2023/5/14	critical
90671	RHEL 5 / 6 / 7 : java-1.7.0-oracle (RHSA-2016:0678)	Nessus	Red Hat Local Security Checks	2016/4/22	2023/5/14	critical
90818	RHEL 6 / 7：java-1.7.1-ibm (RHSA-2016:0701)	Nessus	Red Hat Local Security Checks	2016/5/2	2023/5/14	critical
91079	RHEL 6: java-1.8.0-ibm (RHSA-2016:1039)	Nessus	Red Hat Local Security Checks	2016/5/12	2025/4/15	critical
91319	SUSE SLES10 安全性更新：IBM Java 1.6.0 (SUSE-SU-2016:1388-1)	Nessus	SuSE Local Security Checks	2016/5/25	2024/6/18	critical

偵測

搜尋 Plugin

critical

critical

critical

critical

critical

critical

critical

critical

critical

critical

critical

critical