openSUSE Security 更新:java-1_7_0-openjdk(openSUSE-SU-2013:1288-1)

critical Nessus プラグイン ID 75101

概要

リモート openSUSE ホストに、セキュリティ更新がありません。

説明

java-1_7_0-openjdk が icedtea-2.4.1 へ更新されました(bnc#828665)

- セキュリティ修正

- S6741606、CVE-2013-2407:Apache Santuario の統合

- S7158805、CVE-2013-2445:ネスト化されたサブルーチン呼び出しの書き換えを改善

- S7170730、CVE-2013-2451:Windows ネットワークスタックサポートの強化。

- S8000638、CVE-2013-2450:逆シリアル化の改善

- S8000642、CVE-2013-2446:転送用オブジェクト処理の改善

- S8001032:オブジェクトアクセスを制限します

- S8001033、CVE-2013-2452:仮想マシン識別子におけるネットワークアドレス処理のリファクタリング

- S8001034、CVE-2013-1500:メモリ管理の改善

- S8001038、CVE-2013-2444:リソース処理の強化

- S8001043:定義制限を明確にします

- S8001308:アプレットのウィンドウの表示を更新します

- S8001309:注釈インターフェイスの処理を改善します

- S8001318、CVE-2013-2447:Socket.getLocalAddress が InetAddress.getLocalHost と一致しません

- S8001330、CVE-2013-2443:チェック順序の改善(ゼロ以外のビルドのみ)

- S8003703、CVE-2013-2412:RMI 接続ダイアログボックスの更新

- S8004288、CVE-2013-2449:(fs)Files.probeContentType の問題

- S8004584:アプレットのコンテキスト化を強化します

- S8005007:グリフ処理を改善します

- S8006328、CVE-2013-2448:サウンドクラスの堅牢性を向上

- S8006611:スクリプティングを改善します

- S8007467:JMX 内部 API のロバスト性を改善します

- S8007471:MBean 通知を改善します

- S8007812、CVE-2013-2455:(反映)一部のクラスに対する Class.getEnclosingMethod の問題

- S8007925:cmsStageAllocLabV2ToV4curves を改善します

- S8007926:cmsPipelineDup を改善します

- S8007927:cmsAllocProfileSequenceDescription を改善します

- S8007929:CurvesAlloc を改善します

- S8008120、CVE-2013-2457:JMX クラスチェックの改善

- S8008124、CVE-2013-2453:コンプライアンステストの改善

- S8008128:JMX に対する API の一貫性を改善します

- S8008132、CVE-2013-2456:シリアル化サポートの改善

- S8008585:JMX データ処理を改善します

- S8008593:URLClassLoader リソース管理を改善します

- S8008603:JMX プロバイダーのプロビジョニングを改善します

- S8008607:JMX の入力チェックを改善します

- S8008611:JMX の注釈の処理を改善します

- S8008615:JMX 内部 API のロバスト性を改善します

- S8008623:MBeanServers の処理を改善します

- S8008744、CVE-2013-2407:JDK-6741606 の修正の修正部分

- S8008982:下層インターフェイスの変更のために JMX を調整します

- S8009004:RMI 接続の実装を改善します

- S8009008:management-api の管理を改善します

- S8009013:T2K glyphs の処理を改善します

- S8009034:JMX の通知結果を改善します

- S8009038:JMX 通知サポートを改善します

- S8009057、CVE-2013-2448:MIDI イベント処理の改善

- S8009067:KeyStore へ保存するキーを改善します

- S8009071、CVE-2013-2459:形状処理の改善

- S8009235:TSA データの処理を改善します

- S8009424、CVE-2013-2458:JSR-292 実装変更に Nashorn を適合

- S8009554、CVE-2013-2454:SerialJavaObject.getFields の改善

- S8009654:cmsnamed の安定性を改善します

- S8010209、CVE-2013-2460:ファクトリーのプロビジョンを改善

- S8011243、CVE-2013-2470:ImagingLib の改善

- S8011248、CVE-2013-2471:コンポーネントラスターの改善

- S8011253、CVE-2013-2472:ショートコンポーネントラスターの改善

- S8011257、CVE-2013-2473:バイトコンポーネントラスターの改善

- S8012375、CVE-2013-1571:Javadoc フレーミングの改善

- S8012421:PairPositioning の位置を改善します

- S8012438、CVE-2013-2463:画像検証の改善

- S8012597、CVE-2013-2465:画像チャネル検証の改善

- S8012601、CVE-2013-2469:画像レイアウト検証の改善

- S8014281、CVE-2013-2461:XML 署名チェックの改善

- S8015997:Javadoc フレーミングでの追加の改善

- OpenJDK

- long へのリストについては、ニュースファイルを参照してください。

- java-1.7.0-openjdk-zero-arch.patch:zero arch の検出を修正します

- ビルドサイクルを妨げるビルド中に rhino の依存関係を無視します

- icedtea-2.4.0 へ更新します(oracle jdk7u40 に基づきます)

- OpenJDK(完全なリストについてはニュースを参照してください)

- PR1209、S7170638:JNI Set および SetStatic フィールドの DTRACE_PROBE[N] を使用します

- PR1206、S7201205:OpenJDK の制限がない crypto によるビルドへ Makefile 構成オプションを追加します

- バックポート

- PR1197、S8003120、RH868136:
ResourceManager.getApplicationResources() は InputStreams を閉じません

- S8014618、RH962568:DHKeyAgreement の TlsPremasterSecret における先行ゼロを取り除く必要があります

- バグ修正

- PR1212:Resources.getText() がすでにコードで利用できないため、IcedTea7 はビルドに失敗します

- NSS(コメントアウト)を他のプラットフォームへ追加します。

- 複数の PKCS11 ライブラリ初期化を重要でないエラーとします。

- ローカルの zlib パッチから upstream バージョンへ完全に切り替えます

- buildtree.make に defs.makeso が含まれ、ZERO_BUILD が認識され、JVM_VARIANT_ZERO が設定されます。

- NSS を含む PKCS11 プロバイダーを使用するサポートを提供します

- ゼロの上流の一部として、一見して削除されたファイルを削除します

- 7060849 を戻します

- 無制限のポリシーの使用を確実にするために、UNLIMITED_CRYPTO=true を設定します

- PR473:nss.cfg 内の ignoreMultipleInitialisation へ handleStartupErrors を設定します

- PR716:IcedTea7 は、IcedTea6 とブートストラップしなければなりません

- OpenJDK 6 でビルドする際に、競合をさけるため Java.security.cert.* のインポートを展開します。

- STRIP_POLICY=no_strip を設定する際に、実行されない Makefile ブロック上のインデントを修正します

- JEP 167 の一部として導入された無効な XSL スタイルシートおよび DTD を修正します。

- buildtree.make に defs.makeso が含まれ、ZERO_BUILD が認識され、JVM_VARIANT_ZERO が設定されます。

- libffi cflag および libs が使用されることを確認します。

- PR1378:AArch64 サポートをゼロに追加します

- Pr1170:無制限の crypto ポリシーの配置を確実にします。

- RH513605、PR1280:OpenJDK の更新/インストールでは、共有されたクラスデータのアーカイブを再作成しなければなりません

- PR1358:XRender を必須とします

- PR1360:/usr/lib64 JVM およびジェネリック Jpackage 代替えを確認します

- PR1435、D657854:OpenJDK 7 は、正しくない TrueType フォントメトリクスを返します

- PR728:GTKLookAndFeel は、gtk-alternative-button-order を遵守しません

- JamVM

- JSR 335:(lambda 式)初期化ハック

- JEP 171:sun.misc.Unsafe 内のフェンスメソッドを実装します

- invokespecial opcode の invokesuper チェックを修正します

- 間接的インタープリター invokespecial super-class チェックを修正します

- ネイティブメソッドを GC する場合は、コードの解放を試みません

- 準備されていない Miranda メソッドのコードデータを解放しません

- 匿名クラスの保護ドメインを設定します

- JVM_IsVMGeneratedMethodIx スタブ

- sun.misc.Perf ネイティブのダミー実装

- すでに必要としないゼロの VM を分離します

- java-1.7.0-openjdk-aarch64.patch をドロップします(upstream:PR1378)

- bnc#781690c#11 の修正 - posttrans の JAVA_HOME を設定し、証明書はこの JVM により作成されます

- postrans 状態を修正します(欠落している prefiX を追加します)

- リラックスビルドが必要です。そして、全ての java-devel >= 1.7.0 が一致します

ソリューション

影響を受ける java-1_7_0-openjdk パッケージを更新してください。

参考資料

https://bugzilla.novell.com/show_bug.cgi?id=781690

https://bugzilla.novell.com/show_bug.cgi?id=828665

https://lists.opensuse.org/opensuse-updates/2013-08/msg00001.html

プラグインの詳細

深刻度: Critical

ID: 75101

ファイル名: openSUSE-2013-622.nasl

バージョン: 1.5

タイプ: local

エージェント: unix

公開日: 2014/6/13

更新日: 2022/3/29

サポートされているセンサー: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Critical

スコア: 9.7

CVSS v2

リスクファクター: Critical

Base Score: 10

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:java-1_7_0-openjdk, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-debugsource, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-demo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-demo-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-devel, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-devel-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-src, cpe:/o:novell:opensuse:12.2, cpe:/o:novell:opensuse:12.3, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-javadoc

必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2013/7/24

CISA の既知の悪用された脆弱性の期限日: 2022/4/18

エクスプロイト可能

Core Impact

Metasploit (Java storeImageArray() Invalid Array Indexing Vulnerability)

参照情報

CVE: CVE-2013-1500, CVE-2013-1571, CVE-2013-2407, CVE-2013-2412, CVE-2013-2443, CVE-2013-2444, CVE-2013-2445, CVE-2013-2446, CVE-2013-2447, CVE-2013-2448, CVE-2013-2449, CVE-2013-2450, CVE-2013-2451, CVE-2013-2452, CVE-2013-2453, CVE-2013-2454, CVE-2013-2455, CVE-2013-2456, CVE-2013-2457, CVE-2013-2458, CVE-2013-2459, CVE-2013-2460, CVE-2013-2461, CVE-2013-2463, CVE-2013-2465, CVE-2013-2469, CVE-2013-2470, CVE-2013-2471, CVE-2013-2472, CVE-2013-2473