openSUSE Security 更新:java-1_7_0-openjdk(openSUSE-SU-2012:1154-1)
critical Nessus プラグイン ID 74748
Language:
概要
リモート openSUSE ホストに、セキュリティ更新がありません。説明
Java-1_7_0-openjdk は更新され、リモートの悪用が修正されました(CVE-2012-4681)。また、次のバグ修正も行われました:
- ARM および i586 でのビルドを修正します
- 今後使用されないファイルを削除します
- rpmbuild(osc build)--with zero を使用することで、
zero ビルドを有効にすることができます
- zero に必要なホットスポット 2.1 を追加します
- %{ix86} でファイルリストを修正します
- セキュリティ修正
- S7162476、CVE-2012-1682:ClassFinder による、XMLDecoder のセキュリティ問題
- S7194567、CVE-2012-3136:java.beans オブジェクトの長期持続を改善します
- S7163201、CVE-2012-0547:ツールキット内部参照を簡略化します
- RH852051、CVE-2012-4681、S7162473:6788531 で削除した PackageAccessible チェックを再導入します。
- OpenJDK
- 2.3 での Zero FTBFS の問題を修正します
- S7180036:修正 # 7163201 により発生した Mac プラットフォームでのビルドの失敗
- S7182135:一部のエディターを直接使用できません
- S7183701:[TEST] closed/java/beans/security/TestClassFinder.java –
コンパイルに失敗しました
- S7185678:
java/awt/Menu/NullMenuLabelTest/NullMenuLabelTest.java が NPE で失敗しました
- バグ修正
- PR1149:パッケージ化されていない Zero 専用のパッチファイル
- 再度構築するには icedtea の tarball を使用します。これにより、次のファイルは、tarball 内にすでにあり、%prep と %build で簡素化されているため、ドロップされます
- class-rewriter.tar.gz をドロップします
- systemtap-tapset.tar.gz をドロップします
- desktop-files.tar.gz をドロップします
- nss.cfg をドロップします
- pulseaudio.tar.gz をドロップします
- remove-intree-libraries.sh をドロップします
- openjdk、corba、jaxp、jaxws、jdk、langtools、およびホットスポットに対して、icedtea7-forest-2.3 からアーカイブを追加します
- rhino.patch、pulse-soundproperties、および systemtap patch をドロップします
- openjdk を構築した後にパッチが失敗するような異常な状態になる前に、gnome ブリッジパッチを移動します
- ファイルアクセス権の問題を今後回避するために、%files セクションで明示的なファイル属性を使用します(bnc#770040 と同類)
- バージョンスキームを変更したため、Oracle Java 1.7.0.6 は Java7 u 6 と一致することになります
- icedtea-2.3.1/OpenJDK7 u6 に更新してください(bnc#777499)
- セキュリティ修正
- RH852051、CVE-2012-4681:6788531 で削除した PackageAccessible チェックを再導入します。
- バグ修正
- PR902:PulseAudioClip getMicrosecondsLength() は、マイクロ秒ではなく、ミリ秒で長さを返します
- PR986:最大ヒープサイズが少ないため、IcedTea7 は IcedTea6 CACAO で構築することに失敗します
- PR1050:ガベージコレクションが行われないストリームオブジェクト
- PR1119:クラス(または 1 つ以上のそのメソッド/フィールド)が起動 JDK から実際になくなっている場合にのみ、そのクラスを rt-source-files.txt に追加します
- PR1137:COMPRESS_JARS の設定により、JAR を任意で圧縮できるようにします
- OpenJDK
- GConf に対する動的サポートが再度機能するようにします。
- PR1095:-Werror に対する構成オプションを追加します
- PR1101:GNU/Linux SPARC 上の定義されていないシンボル
- PR1140:不要な diz ファイルをインストールしないようにします
- S7192804、PR1138:ビルドで OpenJDK 用の jvisualvm の man ページをインストールしないようにします
- JamVM
- ARMv6 armhf:Raspbian(Raspberry Pi)に対する変更
- PPC:lwsync がサポートされていない場合はそれを使用しません
- X86:マシン依存の i386 向け stub を生成します
- 一時中断中は、機能していない取り外したスレッドを無視します。これにより、JNI を通じて外部スレッドを VM に取り付け、そして取り外さずに VM を終了した場合に、ユーザーが引き起こすデッドロックを防止します
- JNI から渡された参照に対して欠如している REF_TO_OBJ を追加して、JamVM が Qt-Jambi を実行できるようにします
- 2.3 に多数の修正があります。NEWS を参照してください
ソリューション
影響を受ける java-1_7_0-openjdk パッケージを更新してください。参考資料
https://bugzilla.novell.com/show_bug.cgi?id=770040
https://bugzilla.novell.com/show_bug.cgi?id=777499
https://lists.opensuse.org/opensuse-updates/2012-09/msg00052.html
プラグインの詳細
深刻度: Critical
ID: 74748
ファイル名: openSUSE-2012-592.nasl
バージョン: 1.7
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2014/6/13
更新日: 2022/3/8
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Critical
スコア: 9.8
CVSS v2
リスクファクター: Critical
基本値: 10
現状値: 7.8
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:java-1_7_0-openjdk, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-debugsource, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-demo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-demo-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-devel, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-devel-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-javadoc, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-src, cpe:/o:novell:opensuse:12.2
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2012/9/7
脆弱性公開日: 2012/8/28
CISA の既知の悪用された脆弱性の期限日: 2022/3/24
エクスプロイト可能
CANVAS (CANVAS)
Core Impact
Metasploit (Java 7 Applet Remote Code Execution)
参照情報
CVE: CVE-2012-0547, CVE-2012-1682, CVE-2012-3136, CVE-2012-4681