openSUSE セキュリティ更新:java-1_6_0-openjdk(openSUSE-SU-2013:0777-1)

critical Nessus プラグイン ID 74991
New! Vulnerability Priority Rating (VPR)

Tenable では、すべての脆弱性に対して動的な VPR が計算されます。VPR は脆弱性の情報を、脅威インテリジェンスや機械学習アルゴリズムと組み合わせて、攻撃時に最も悪用される可能性の高い脆弱性を予測します。詳細は、 「VPR とは何で、CVSS とはどう違うのか」を参照してください。

VPR スコア : 9.5

概要

リモート openSUSE ホストに、セキュリティ更新がありません。

説明

java-1_6_0-openjdk が 1.12.5 に更新されました(bnc#817157)

- セキュリティ修正

- S6657673、CVE-2013-1518:JAXP との問題

- S7200507:Introspector 内部をリファクタリングします

- S8000724、CVE-2013-2417:ネットワークのシリアル化を改善します

- S8001031、CVE-2013-2419:フォント処理を改善します

- S8001040、CVE-2013-1537:RMI モデルを作り替えます

- S8001322:逆シリアル化をリファクタリングします

- S8001329、CVE-2013-1557:RMI ロギングを増強します

- S8003335:ファイナライザースレッドの処理を改善します

- S8003445:API に集中するように JAX-WS を調整します

- S8003543、CVE-2013-2415:MTOM 添付ファイルの処理を改善します

- S8004261:入力検証を改善します

- S8004336、CVE-2013-2431:メソッド処理イントリンジックフレームの処理を改善します

- S8004986、CVE-2013-2383:グリフテーブルの処理を改善します

- S8004987、CVE-2013-2384:フォントレイアウトを改善します

- S8004994、CVE-2013-1569:グリフテーブルのチェックを改善します

- S8005432:JAX-WS へのアクセスを更新します

- S8005943:(プロセス)Runtime.exec を改善しました

- S8006309:コントロールパネルの操作をより信頼できるものにします

- S8006435、CVE-2013-2424:JMX での改善

- S8006790:Windows に対するチェックを改善します

- S8006795:フォントの警告メッセージを改善します

- S8007406:AccessBridge のアクセシビリティを改善します

- S8007617、CVE-2013-2420:画像の検証を改善します

- S8007667、CVE-2013-2430:画像の読み取りを改善します

- S8007918、CVE-2013-2429:画像の書き込みを改善します

- S8009063、CVE-2013-2426:ConcurrentHashMap の信頼性を改善します

- S8009305、CVE-2013-0401:AWT データ転送を改善します

- S8009699、CVE-2013-2421:Methodhandle の検索

- S8009814、CVE-2013-1488:ドライバー管理を改善します

- S8009857、CVE-2013-2422:プラグインとの問題

- RH952389:安全でない権限で作成された一時ファイル

- バックポート

- S7197906:BlockOffsetArray::power_to_cards_back() は 32 ビット以上のシフトを処理する必要があります

- S7036559:ConcurrentHashMap のフットプリントと競合の改善

- S5102804:カスタム BeanInfo に対する Introspector.getBeanInfo(Class) でのメモリリーク:Class param(S6397609 から WeakCache を伴う)

- S6501644:ICU を一致させるために LayoutEngine *code* 構造を同期します

- S6886358:レイアウトコードの更新

- S6963811:Introspector でデッドロックを起こしやすいロックの変更

- S7017324:ICU レイアウト更新以降の JDK 7 でのカーニングクラッシュ

- S7064279:Introspector.getBeanInfo() は一部のリソースをタイミング良くリリースすべきです

- S8004302:javax/xml/soap/Test7013971.java が jdk6u39b01 以降失敗します

- S7133220:7u4 用の JAXP 1.4.5 更新 1 に対する追加パッチ(S6657673 に対しては部分的)

- S8009530:ICU Kern テーブルサポートの破損

- バグ修正

- OJ3:get_stack_bounds メモリリークを修正します(S7197906 の代替修正)

- PR1362:Fedora 19/rawhide FTBFS SIGILL

- PR1338:libXp での依存性を取り除きます

- PR1339:同時使用を防止するために rhino クラスリライターを簡素化します

- PR1336:Fedora 17/18 でのブートストラップの失敗

- PR1319:#ifdef を #if に修正します

- PR1402:2.17 以前の glibc を AArch64 パッチでサポートします

- 独自の内部パッケージに xalan/xerces がアクセスできるようにします。

- 新機能

- JAXP、JAXWS & JAF を、後続のパッチ処理を支援するために、ドロップではなくパッチとして供給します。

- PR1380:AArch64 サポートをゼロに追加します

- openjdk-7-src-b147-awt-crasher.patch(bnc#792951)

- non-jit パッケージのビルドを修正します

ソリューション

影響を受ける java-1_6_0-openjdk パッケージを更新してください。

関連情報

https://bugzilla.novell.com/show_bug.cgi?id=817157

https://lists.opensuse.org/opensuse-updates/2013-05/msg00017.html

プラグインの詳細

深刻度: Critical

ID: 74991

ファイル名: openSUSE-2013-410.nasl

バージョン: 1.6

タイプ: local

エージェント: unix

公開日: 2014/6/13

更新日: 2021/1/19

依存関係: ssh_get_info.nasl

リスク情報

リスクファクター: Critical

VPR スコア: 9.5

CVSS v2.0

Base Score: 10

Temporal Score: 8.7

ベクトル: AV:N/AC:L/Au:N/C:C/I:C/A:C

現状ベクトル: E:H/RL:OF/RC:C

脆弱性の情報

CPE: p-cpe:/a:novell:opensuse:java-1_6_0-openjdk, p-cpe:/a:novell:opensuse:java-1_6_0-openjdk-debuginfo, p-cpe:/a:novell:opensuse:java-1_6_0-openjdk-debugsource, p-cpe:/a:novell:opensuse:java-1_6_0-openjdk-demo, p-cpe:/a:novell:opensuse:java-1_6_0-openjdk-demo-debuginfo, p-cpe:/a:novell:opensuse:java-1_6_0-openjdk-devel, p-cpe:/a:novell:opensuse:java-1_6_0-openjdk-devel-debuginfo, p-cpe:/a:novell:opensuse:java-1_6_0-openjdk-javadoc, p-cpe:/a:novell:opensuse:java-1_6_0-openjdk-src, cpe:/o:novell:opensuse:12.1

必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2013/4/30

エクスプロイト可能

Core Impact

Metasploit (Java Applet Driver Manager Privileged toString() Remote Code Execution)

参照情報

CVE: CVE-2013-0401, CVE-2013-1488, CVE-2013-1518, CVE-2013-1537, CVE-2013-1557, CVE-2013-1569, CVE-2013-2383, CVE-2013-2384, CVE-2013-2415, CVE-2013-2417, CVE-2013-2419, CVE-2013-2420, CVE-2013-2421, CVE-2013-2422, CVE-2013-2424, CVE-2013-2426, CVE-2013-2429, CVE-2013-2430, CVE-2013-2431