Scientific Linux セキュリティ更新：SL6.x i386/x86_64 の java-1.6.0-openjdk

critical Nessus プラグイン ID 61065

Language:

概要

リモート Scientific Linux ホストに 1 つ以上のセキュリティ更新がありません。

説明

これらのパッケージは、OpenJDK 6 Java Runtime Environment および OpenJDK 6 ソフトウェア開発キットを提供します。

Java2D が JPEG 画像およびユーザー指定のフォントを解析する方法に、整数オーバーフローの欠陥が見つかりました。攻撃者がこれらの欠陥を利用し、信頼されていないアプレットまたはアプリケーションを実行しているユーザー権限で任意のコードを実行することが可能です。（CVE-2011-0862）

不要なアクセス権限で、MediaTracker の実装がコンポーネントインスタンスを作成していたことが判明しました。リモートの攻撃者が、この欠陥を利用して、Swing を使用する信頼されていないアプレットまたはアプリケーションを使用することにより権限を昇格することが可能です。（CVE-2011-0871）

OpenJDK のホットスポットコンポーネントに欠陥が見つかりました。特定のバイトコードの命令が、 Java 仮想マシン（JVM）内のメモリ管理を混乱させ、アプレットまたはアプリケーションをクラッシュさせていました。
（CVE-2011-0864）

情報漏洩の欠陥が NetworkInterface クラスに見つかりました。信頼されていないアプレットまたはアプリケーションが、この欠陥を利用して、権限のあるコードにのみ入手できるはずの利用可能なネットワークインターフェイスについての情報にアクセスすることが可能です。（CVE-2011-0867）

特定のオブジェクト（画像やテキストなど）が Java2D で変換される方法で、オーバーフローを引き起こす不適切な float から long への変換が見つかりました。リモートの攻撃者が、これを利用して、Java2D を使用する信頼されていないアプレットまたはアプリケーションをクラッシュさせることが可能です。（CVE-2011-0868）

信頼されていないアプレットやアプリケーションが SOAP 接続を間違って使用し、グローバル HTTP プロキシ設定をローカルスコープで設定せずに、不適切に設定していたことが判明しました。この欠陥は、HTTP リクエストの傍受に使用することが可能です。（CVE-2011-0869）

署名済みのオブジェクトが逆シリアル化される方法に欠陥が見つかりました。信頼されているコードと信頼されていないコードが同じ Java 仮想マシン（JVM）で実行され、両方が同じ署名済みのオブジェクトを逆シリアル化する場合、信頼されていないコードがこの欠陥を利用して、そのオブジェクトを変更し、署名済みのオブジェクトでの検証チェックをバイパスすることが可能です。（CVE-2011-0865）

java-1.6.0-openjdk の全ユーザーは、これらの問題を解決する、これらの更新済みパッケージにアップグレードすることが推奨されます。更新を有効にするには、 OpenJDK Java の実行しているすべてのインスタンスを再起動する必要があります。