openSUSE Security Update : java-11-openjdk (openSUSE-2019-1916)

medium Nessus プラグイン ID 128008

言語:

New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。

説明

バージョンjdk-11.0.4+11へのこのjava-11-openjdkの更新では、次の問題を修正しています:

キャッシュサイドチャネル攻撃の軽減:

- CVE-2019-2745:ECC実装を向上します(bsc#1141784)。

- CVE-2019-2762:例外的なスローケース(bsc#1141782)。

- CVE-2019-2766:ファイルプロトコルの処理を改善します(bsc#1141789)。

- CVE-2019-2769:CopiesListのよりよいコピー(bsc#1141783)。

- CVE-2019-2786:より限定的な権限の使用(bsc#1141787)。

- CVE-2019-7317:PNGサポートオプションを改善します(bsc#1141780)。

- CVE-2019-2818:Poly1305サポートを改善します(bsc#1141788)。

- CVE-2019-2816:正規化を正規化します(bsc#1141785)。

- CVE-2019-2821:TLSネゴシエーションを改善します(bsc#1141781)。

- 証明書検証の改善

セキュリティ以外の修正された問題:

- manページが存在しない場合でもインストールに失敗しません(bsc#1115375)

- JDK-8208602の上流修正をバックポート:空白は、ヘッダまたはフッタの後に存在する場合PEM X.509証明書を読み取ることができません(bsc#1140461)

この更新はSUSEからインポートされました:SLE-15:更新プロジェクトを更新します。

ソリューション

影響を受けるjava-11-openjdkパッケージを更新してください。

関連情報

https://bugzilla.opensuse.org/show_bug.cgi?id=1115375

https://bugzilla.opensuse.org/show_bug.cgi?id=1141780

https://bugzilla.opensuse.org/show_bug.cgi?id=1141782

https://bugzilla.opensuse.org/show_bug.cgi?id=1141783

https://bugzilla.opensuse.org/show_bug.cgi?id=1141784

https://bugzilla.opensuse.org/show_bug.cgi?id=1141785

https://bugzilla.opensuse.org/show_bug.cgi?id=1141787

https://bugzilla.opensuse.org/show_bug.cgi?id=1141789

https://bugzilla.opensuse.org/show_bug.cgi?id=1140461

https://bugzilla.opensuse.org/show_bug.cgi?id=1141781

https://bugzilla.opensuse.org/show_bug.cgi?id=1141788

プラグインの詳細

深刻度: Medium

ID: 128008

ファイル名: openSUSE-2019-1916.nasl

バージョン: 1.3

タイプ: local

エージェント: unix

公開日: 2019/8/20

更新日: 2020/9/23

依存関係: ssh_get_info.nasl

リスク情報

CVSS スコアのソース: CVE-2019-2816

VPR

リスクファクター: Medium

スコア: 4.4

CVSS v2

リスクファクター: Medium

Base Score: 5.8

Temporal Score: 4.3

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N

現状ベクトル: CVSS2#E:U/RL:OF/RC:C

CVSS v3

リスクファクター: Medium

Base Score: 4.8

Temporal Score: 4.2

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:2.3:o:novell:opensuse:15.1:*:*:*:*:*:*:*, p-cpe:2.3:a:novell:opensuse:java-11-openjdk:*:*:*:*:*:*:*, p-cpe:2.3:a:novell:opensuse:java-11-openjdk-accessibility:*:*:*:*:*:*:*, p-cpe:2.3:a:novell:opensuse:java-11-openjdk-accessibility-debuginfo:*:*:*:*:*:*:*, p-cpe:2.3:a:novell:opensuse:java-11-openjdk-debuginfo:*:*:*:*:*:*:*, p-cpe:2.3:a:novell:opensuse:java-11-openjdk-debugsource:*:*:*:*:*:*:*, p-cpe:2.3:a:novell:opensuse:java-11-openjdk-demo:*:*:*:*:*:*:*, p-cpe:2.3:a:novell:opensuse:java-11-openjdk-devel:*:*:*:*:*:*:*, p-cpe:2.3:a:novell:opensuse:java-11-openjdk-headless:*:*:*:*:*:*:*, p-cpe:2.3:a:novell:opensuse:java-11-openjdk-javadoc:*:*:*:*:*:*:*, p-cpe:2.3:a:novell:opensuse:java-11-openjdk-jmods:*:*:*:*:*:*:*, p-cpe:2.3:a:novell:opensuse:java-11-openjdk-src:*:*:*:*:*:*:*

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2019/8/15

脆弱性公開日: 2019/2/4

参照情報

CVE: CVE-2019-7317, CVE-2019-2816, CVE-2019-2769, CVE-2019-2762, CVE-2019-2786, CVE-2019-2766, CVE-2019-2745, CVE-2019-2818, CVE-2019-2821