openSUSE Security 更新:java-1_7_0-openjdk(openSUSE-SU-2013:0377-1)

critical Nessus プラグイン ID 74907

概要

リモート openSUSE ホストに、セキュリティ更新がありません。

説明

java-1_7_0-openjdk は、次のセキュリティとバグの様々な修正が含まれる、icedtea -2.3.6(bnc#803379)に更新されました:

- セキュリティ修正

- S6563318、CVE-2013-0424:RMI データサニタイズ

- S6664509、CVE-2013-0425:ロギングコンテキストを追加します

- S6664528、CVE-2013-0426:構築時間で与えられた名前または値に一致するログレベルを検索します

- S6776941:CVE-2013-0427:スレッドプールシャットダウンを改善します

- S7141694、CVE-2013-0429:CORBA の内部を改善します

- S7173145:スプラッシュスクリーンのインメモリ表現を改善します

- S7186945:Unpack200 を改善します

- S7186946:アンパッカーリソース使用率の精度を改善します

- S7186948:Swing データの検証を改善します

- S7186952、CVE-2013-0432:クリップボードのアクセスを改善します

- S7186954:接続パフォーマンスを改善します

- S7186957:Pack200 データの検証を改善します

- S7192392、CVE-2013-0443:クライアントキーの検証を改善します

- S7192393、CVE-2013-0440:TLS メッセージの順番のチェックを改善します

- S7192977、CVE-2013-0442:ツールキットスレッドの問題

- S7197546、CVE-2013-0428:(プロキシ)リフレクティブプロキシ作成を反映します

- S7200491:JTable レイアウトコードを強化します

- S7200493、CVE-2013-0444:キャッシュ処理の改善

- S7200499:オプションのデータ検証の改善

- S7200500:ランチャーの改善された入力検証

- S7201064:ダイアログのチェックを改善します

- S7201066、CVE-2013-0441:未使用フィールドの修飾子を変更します

- S7201068、CVE-2013-0435:UI 要素の処理を改善します

- S7201070:プロトコルへ準拠するためのシリアル化

- S7201071、CVE-2013-0433:InetSocketAddress のシリアル化の問題

- S8000210:JarFile コードの品質を改善します

- S8000537、CVE-2013-0450:RequiredModelMBean クラスをコンテキスト化します

- S8000539、CVE-2013-0431:JMX のデータ処理をイントロスペクトする

- S8000540、CVE-2013-1475:IIOP タイプ再利用の管理を改善します

- S8000631、CVE-2013-1476:クラスコンストラクターへのアクセスを制限します

- S8001235、CVE-2013-0434:JAXP HTTP 処理を改善します

- S8001242:RMI HTTP への準拠を改善します

- S8001307:ACC_SUPER の挙動を修正します

- S8001972、CVE-2013-1478:画像処理を改善します

- S8002325、CVE-2013-1480:画像管理を改善します

- バックポート

- S7057320:
test/java/util/concurrent/Executors/AutoShutdown.java が断続的に失敗する

- S7083664:TEST_BUG:c:/temp を使用したハードコードをテストするが、このディレクトリが存在しないことがある

- S7107613:javax.crypto.CryptoPermissions のスケーラビリティブロッカー

- S7107616:javax.crypto.JceSecurityManager のスケーラビリティブロッカー

- S7146424:シングルエントリの classpath にワイルドカード展開

- S7160609:[macosx] libjvm.dylib(C [GeForceGLDriver+0x675a] gldAttachDrawable+0x941)の JDK クラッシュ

- S7160951:[macosx] ScreenMenuBar を使用する JMenuItem に対し、ActionListener が 2 度呼ばれる

- S7162488:VM で未知の -XX オプションが印刷されない

- S7169395:JDK 7 オブジェクトのトラバーサルの変更により例外がスローされ、後方互換性が失われる

- S7175616:JDK 8 から JDK 7 への TimeZone の修正をポートする

- S7176485:(bf)一時バッファキャッシュが IOV_MAX になることを許可する

- S7179908:jdk7u7 用に hs22.2 から hs23.3 hsx をフォークし、ビルド番号を再初期化してください

- S7184326:
TEST_BUG:java/awt/Frame/7024749/bug7024749.java に誤字がある

- S7185245:ライセンスソースのバンドルが JFR をコンパイルしようとする

- S7185471:AES 暗号を同一の鍵で再初期化する時に、鍵展開を防止する

- S7186371:[macosx] メインメニューのショートカットが表示されない(7u6 回帰)

- S7187834:[macosx] macosx の 2d 実装でプライベート API を使用すると、Apple Store で拒否される

- S7188114:(launcher)Windows 用の代替コマンドラインパーサーが必要

- S7189136:jdk7u9 用に hs23.4 から hs23.5 hsx をフォークし、ビルド番号を再初期化してください

- S7189350:CR 7162144 の修正が失敗する

- S7190550:REGRESSION:修正 7185245 が原因で、一部の closed/com/oracle/jfr/api テストでコンパイルが失敗する

- S7193219:JDK 1.7 で JComboBox のシリアル化が失敗する

- S7193977:REGRESSION:Java 7 の JavaBeans がプロパティの「transient」フラグを無視して永続する

- S7195106:REGRESSION:Softreference のリリース後、アイコン情報を取得する方法がない

- S7195301:XML Signature DOM の実装では、ノードのタイプの決定に instanceof を使用してはならない

- S7195931:jre7u6+ から NSS を使用中に、PKCS11.C_GetOperationState で UnsatisfiedLinkError が発生する

- S7197071:様々なセキュリティプロバイダーの Makefiles にデフォルトのマニフェストが含まれていない

- S7197652:OCSP がデフォルトでオフになっているため、署名付きの全ての JNLP アプリケーションまたはアプレットが実行できない

- S7198146:Windows-amd64 上で、別の新規回帰テストを行ってもコンパイルできない

- S7198570:(tz)tzdata2012f をサポートします

- S7198640:新しいホットスポットのビルド - hs23.6-b04

- S7199488:[TEST] PID マッチで偽陽性となるため、runtime/7158800/InternTest.java が失敗する

- S7199645:hs23.5 のビルド番号が、b02 へ増加されます

- S7199669:CPU リリースの名前の変更のため、.hgtags ファイルのタグを更新

- S7200720:NTLM 認証の際に net.dll がクラッシュする

- S7200742:(se)Coherence の起動時に Selector.select がブロックしない(sol11u1)

- S7200762:[macosx] sun.java2d.opengl.CGLGraphicsConfig.getMaxTextureSize(Native Method)でスタックする

- S8000285:PostEventQueue.noEvents、EventQueue.isDispatchThread および SwingUtilities.invokeLater 間のデッドロック

- S8000286:[macosx] DnD しても、ビューがドラッグ位置にスクロールバックし続ける

- S8000297:REGRESSION:
closed/java/awt/EventQueue/PostEventOrderingTest.java が失敗する

- S8000307:Jre7cert:alt + tab をしても、focusgained が全てのフォーカスリクエストに対して呼び出されない

- S8000822:jdk7u11 用に hs23.6 から hs23.7 hsx をフォークし、ビルド番号を再初期化してください

- S8001124:jdk7u ProblemList.txt の更新(10/2012)

- S8001242:RMI HTTP への準拠を改善します

- S8001808:8000327 のテストを作成

- S8001876:8000283 の回帰テストを作成

- S8002068:Build 破損:corba のコード変更により JDK 7 の新規クラスが使用できない

- S8002091:tools/launcher/ToolsOpts.java のテストが、Windows の 7u11 b01 以来失敗するようになった

- S8002114:JDK-7160951 の修正が失敗する:[macosx] ScreenMenuBar を使用する JMenuItem に対し、ActionListener が 2 度呼ばれる

- S8002225:(tz)tzdata2012i をサポートします

- S8003402:(dc)test/java/nio/channels/DatagramChannel/SendToUnresovled
7u11 のクリーンアップの問題後、java が失敗します

- S8003403:7u11 のクリーンアップ後、ShortRSAKeyWithinTLS および ClientJSSEServerJSSE のテストが失敗します

- S8003948:NTLM/Negotiate の認証問題

- S8004175:java.security に追加された限定パッケージが java.security-{macosx、solaris、windows} に入っていない

- S8004302:javax/xml/soap/Test7013971.java が jdk6u39b01 以降失敗します

- S8004341:2 つの JCK テストが 7u11 b06 がある場合に失敗します

- S8005615:Java Logger が tomcat ロガーの実装(JULI)をロードすることに失敗します

- バグ修正

- もう一度全てのパッチが適用されるように、Zero のホットスポットを使うビルドを修正

- PR1295:jamvm パラレルのアンパックが失敗します

- icedtea-2.3.2-fix-extract-jamvm-dependency.patch を削除

- icedtea-2.3.3-refresh-6924259-string_offset.patch を削除

- 一部 /openjdk/%{origin}/ の変更が欠落

ソリューション

影響を受ける java-1_7_0-openjdk パッケージを更新してください。

参考資料

https://bugzilla.novell.com/show_bug.cgi?id=803379

https://lists.opensuse.org/opensuse-updates/2013-03/msg00003.html

プラグインの詳細

深刻度: Critical

ID: 74907

ファイル名: openSUSE-2013-165.nasl

バージョン: 1.9

タイプ: local

エージェント: unix

公開日: 2014/6/13

更新日: 2022/5/25

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Critical

Base Score: 10

Temporal Score: 8.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:java-1_7_0-openjdk, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-debugsource, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-demo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-demo-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-devel, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-devel-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-javadoc, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-src, cpe:/o:novell:opensuse:12.2

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2013/2/21

脆弱性公開日: 2013/1/31

CISA の既知の悪用された脆弱性の期限日: 2022/6/15

エクスプロイト可能

Core Impact

Metasploit (Java Applet JMX Remote Code Execution)

参照情報

CVE: CVE-2013-0424, CVE-2013-0425, CVE-2013-0426, CVE-2013-0427, CVE-2013-0428, CVE-2013-0429, CVE-2013-0431, CVE-2013-0432, CVE-2013-0433, CVE-2013-0434, CVE-2013-0435, CVE-2013-0440, CVE-2013-0441, CVE-2013-0442, CVE-2013-0443, CVE-2013-0444, CVE-2013-0450, CVE-2013-1475, CVE-2013-1476, CVE-2013-1478, CVE-2013-1480