Fedora 19:java-1.7.0-openjdk-1.7.0.19-2.3.9.6.fc19(2013-6368)

critical Nessus プラグイン ID 66224

概要

リモート Fedora ホストに、セキュリティ更新がありません。

説明

この更新による修正 - https://admin.fedoraproject.org/updates/FEDORA-2013-5861/java-1.7.0-openjdk-1.7.0.19-2.3.9.1.fc19

以下に一覧する、継承されることが予想される修正を除いて、新しいアクセシビリティのパッケージが含まれます:アクセシビリティのパッケージのサマリー:OpenJDK アクセシビリティコネクタが必要:java-atk-wrapper が必要:
java-1.7.0-openjdk-1.7.0.19-2.3.9.6.fc19

説明:java-at-wrapper を使用することで、OpenJDK でのアクセシビリティのサポートを有効にします。これは、at-spi2 ベースのアクセシビリティプログラムが、AWT および Swing ベースのプログラムで機能できるように互換性を確保します。注意:java-atk-wrapper は、依然としてベータ版であり、引き続き OpenJDK 自体もアクセシビリティ機能で動作できるように調整中の段階です。ほぼ問題なく動作しますが、アクセシビリティに既知の問題があるため、本当に必要な場合でない限り、このパッケージをインストールしないでください。

代替の archs tarball も更新されています。

継承される修正:

- セキュリティ修正を 1 つ修正した最新の IcedTea 2.3.9 に更新されました

- フォントグリフのオフセットを修正しました。arm...)ビルド!

- ゴースト classes.jsa にクライアントを追加

- 最新のセキュリティパッチのある IcedTea 2.3.9 へ更新

- 920245 CVE-2013-0401 OpenJDK:特定されないサンドボックスのバイパス(CanSecWest 2013、AWT)

- 920247 CVE-2013-1488 OpenJDK:特定されないサンドボックスのバイパス(CanSecWest 2013、ライブラリ)

- 952387 CVE-2013-1537 OpenJDK:リモートコードローディングがデフォルトで有効(RMI、8001040)

- 952389 CVE-2013-2415 OpenJDK:一時ファイルが安全でない権限で作成されます(JAX-WS、8003542)

- 952398 CVE-2013-2423 OpenJDK:MethodHandles で不適切なセッターアクセスチェック(ホットスポット、8009677)

- 952509 CVE-2013-2424 OpenJDK:MBeanInstantiator の不充分なクラスアクセスチェック(JMX、8006435)

- 952521 CVE-2013-2429 OpenJDK:JPEGImageWriter の状態の破損(ImageIO、8007918)

- 952524 CVE-2013-2430 OpenJDK:JPEGImageReader の状態の破損(ImageIO、8007667)

- 952550 CVE-2013-2436 OpenJDK:Wrapper.convert の不充分なタイプチェック(ライブラリ、8009049)

- 952638 CVE-2013-2420 OpenJDK:画像処理の脆弱性(2D、8007617)

- 952640 CVE-2013-1558 OpenJDK:java.beans.ThreadGroupContext の制限がありません(Beans、7200507)

- 952642 CVE-2013-2422 OpenJDK:MethodUtil トランポリンクラスの不適切な制限(ライブラリ、8009857)

- 952645 CVE-2013-2431 OpenJDK:ホットスポットイントリンジックフレームの脆弱性(ホットスポット、8004336)

- 952646 CVE-2013-1518 OpenJDK:JAXP のセキュリティ制限がありません(JAXP、6657673)

- 952648 CVE-2013-1557 OpenJDK:
LogStream.setDefaultStream() セキュリティ制限がありません(RMI、8001329)

- 952649 CVE-2013-2421 OpenJDK:ホットスポット MethodHandle の検索エラー(ホットスポット、8009699)

- 952653 CVE-2013-2426 OpenJDK:ConcurrentHashMap が defaultReadObject() メソッドを不適切に呼び出します(ライブラリ、8009063)

- 952656 CVE-2013-2419 OpenJDK:フォント処理のエラー(2D、8001031)

- 952657 CVE-2013-2417 OpenJDK:ネットワーク InetAddress シリアル化の情報漏洩(ネットワーキング、8000724)

- 952708 CVE-2013-2383 OpenJDK:フォントレイアウトおよびグリフテーブルエラー(2D、8004986)

- 952709 CVE-2013-2384 OpenJDK:フォントレイアウトおよびグリフテーブルエラー(2D、8004987)

- 952711 CVE-2013-1569 OpenJDK:フォントレイアウトおよびグリフテーブルエラー(2D、8004994)

- ビルドバージョンの b19 への同期

- java-1.7.0-openjdk-java-access-bridge-security.patch をリライト済み

- 優先度を修正(1 つの 0 を削除)

- パッチ 2 を不適用

- patch107 abrt_friendly_hs_log_jdk7.patch を追加

パッチ 2 java-1.7.0-openjdk-java-access-bridge-idlj.patch を削除

- classes.jsa の冗長な rm を削除したので、ghost はそれを正しく処理します。セカンダリ Arches で FTBFS を修正します。

- セキュリティ修正を 1 つ修正した最新の IcedTea 2.3.9 に更新されました

- フォントグリフオフセットを修正しました。警告 - このビルドはまだ非ホットスポット(arm...)ビルドを更新していません!

- ゴースト classes.jsa にクライアントを追加

- 最新のセキュリティパッチのある IcedTea 2.3.9 へ更新

- 920245 CVE-2013-0401 OpenJDK:特定されないサンドボックスのバイパス(CanSecWest 2013、AWT)

- 920247 CVE-2013-1488 OpenJDK:特定されないサンドボックスのバイパス(CanSecWest 2013、ライブラリ)

- 952387 CVE-2013-1537 OpenJDK:リモートコードローディングがデフォルトで有効(RMI、8001040)

- 952389 CVE-2013-2415 OpenJDK:一時ファイルが安全でない権限で作成されます(JAX-WS、8003542)

- 952398 CVE-2013-2423 OpenJDK:MethodHandles で不適切なセッターアクセスチェック(ホットスポット、8009677)

- 952509 CVE-2013-2424 OpenJDK:MBeanInstantiator の不充分なクラスアクセスチェック(JMX、8006435)

- 952521 CVE-2013-2429 OpenJDK:JPEGImageWriter の状態の破損(ImageIO、8007918)

- 952524 CVE-2013-2430 OpenJDK:JPEGImageReader の状態の破損(ImageIO、8007667)

- 952550 CVE-2013-2436 OpenJDK:Wrapper.convert の不充分なタイプチェック(ライブラリ、8009049)

- 952638 CVE-2013-2420 OpenJDK:画像処理の脆弱性(2D、8007617)

- 952640 CVE-2013-1558 OpenJDK:java.beans.ThreadGroupContext の制限がありません(Beans、7200507)

- 952642 CVE-2013-2422 OpenJDK:MethodUtil トランポリンクラスの不適切な制限(ライブラリ、8009857)

- 952645 CVE-2013-2431 OpenJDK:ホットスポットイントリンジックフレームの脆弱性(ホットスポット、8004336)

- 952646 CVE-2013-1518 OpenJDK:JAXP のセキュリティ制限がありません(JAXP、6657673)

- 952648 CVE-2013-1557 OpenJDK:
LogStream.setDefaultStream() セキュリティ制限がありません(RMI、8001329)

- 952649 CVE-2013-2421 OpenJDK:ホットスポット MethodHandle の検索エラー(ホットスポット、8009699)

- 952653 CVE-2013-2426 OpenJDK:ConcurrentHashMap が defaultReadObject() メソッドを不適切に呼び出します(ライブラリ、8009063)

- 952656 CVE-2013-2419 OpenJDK:フォント処理のエラー(2D、8001031)

- 952657 CVE-2013-2417 OpenJDK:ネットワーク InetAddress シリアル化の情報漏洩(ネットワーキング、8000724)

- 952708 CVE-2013-2383 OpenJDK:フォントレイアウトおよびグリフテーブルエラー(2D、8004986)

- 952709 CVE-2013-2384 OpenJDK:フォントレイアウトおよびグリフテーブルエラー(2D、8004987)

- 952711 CVE-2013-1569 OpenJDK:フォントレイアウトおよびグリフテーブルエラー(2D、8004994)

- ビルドバージョンの b19 への同期

- java-1.7.0-openjdk-java-access-bridge-security.patch をリライト済み

- 優先度を修正(1 つの 0 を削除)

- パッチ 2 を不適用

- patch107 abrt_friendly_hs_log_jdk7.patch を追加

パッチ 2 java-1.7.0-openjdk-java-access-bridge-idlj.patch を削除

- classes.jsa の冗長 rm を削除、ゴーストが適切に処理

注意:Tenable Network Security は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。

ソリューション

影響を受ける java-1.7.0-openjdk パッケージを更新してください。

参考資料

http://www.nessus.org/u?b7d3db4f

http://www.nessus.org/u?a7883b17

プラグインの詳細

深刻度: Critical

ID: 66224

ファイル名: fedora_2013-6368.nasl

バージョン: 1.13

タイプ: local

エージェント: unix

公開日: 2013/4/26

更新日: 2021/1/11

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

脆弱性情報

CPE: p-cpe:/a:fedoraproject:fedora:java-1.7.0-openjdk, cpe:/o:fedoraproject:fedora:19

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2013/4/23

脆弱性公開日: 2013/4/23

エクスプロイト可能

Metasploit (Java Applet Reflection Type Confusion Remote Code Execution)

参照情報

BID: 59170, 59179, 59184, 59187, 59190, 59194, 59206, 58504, 58507, 59131, 59141, 59153, 59159, 59162, 59165, 59166, 59167, 59212, 59213, 59219, 59228, 59243

FEDORA: 2013-6368