Debian DSA-2311-1：openjdk-6 - 複数の脆弱性

critical Nessus プラグイン ID 56307

Language:

概要

リモートのDebianホストにセキュリティ関連の更新プログラムがありません。

説明

Java SE プラットフォームの実装である OpenJDK で、いくつかの脆弱性が発見されました。Common Vulnerabilities and Exposuresプロジェクトは次の問題を特定しています：

- CVE-2011-0862 JPEG とフォントパーサーの整数オーバーフローエラーがあると、信頼されていないコード（アプレットも含む）がその権限をエレベーションできます。

- CVE-2011-0864 OpenJDK のジャストインタイムコンパイラであるホットスポットが特定のバイトコード命令を不適切に処理し、信頼されていないコード（アプレットも含む）が仮想マシンをクラッシュすることができました。

- CVE-2011-0865 署名されているオブジェクト逆シリアル化の競合状態により、署名を明らかにそのままの状態に残したまま、信頼されていないコードが署名済みのコンテンツを修正することができました。

- CVE-2011-0867 信頼されていないコード（アプレットも含む）により、パブリックにする意図のなかったネットワークインターフェイスの情報にアクセスすることができました。（注：インターフェイス Mac アドレスが、信頼されないコードにまだ利用できます。）

- CVE-2011-0868 float から long への変換がオーバーフローし、信頼されないコード（アプレットも含む）が仮想マシンをクラッシュする可能性があります。

- CVE-2011-0869 SOAP 接続でプロキシ設定を再構成することにより、信頼されないコード（アプレットも含む）が HTTP リクエストを傍受することができました。

- CVE-2011-0871 信頼されないコード（アプレットも含む）が、Swing MediaTracker でその権限を昇格することができました。

さらに、この更新は、i386 と amd64 からの Zero/Shark と Cacao のホットスポット変種のサポートを、安定性の問題により削除します。
これらのホットスポットの変種は、openjdk-6-jre-zero と icedtea-6-jre-cacao のパッケージに含まれています。これらのパッケージはこの更新中に削除する必要があります。

ソリューション

openjdk-6 パッケージをアップグレードしてください。

旧安定版（oldstable）ディストリビューション（lenny）では、これらの問題は技術上の理由のため別の DSA で修正されています。

安定版（stable）ディストリビューション（squeeze）では、これらの問題はバージョン6b18-1.8.9-0.1~squeeze1で修正されています。