openSUSE Security 更新:java-1_7_0-openjdk(openSUSE-SU-2014:0174-1)

critical Nessus プラグイン ID 75413

概要

リモート openSUSE ホストに、セキュリティ更新がありません。

説明

- -devel と -headless パッケージ間のファイル競合を修正します

- 2.4.4 に更新します(bnc#858818)

- xz から gzip された tarball に変更しました(最初のものが更新中に利用できなかったため)

- キーリングファイルの期限をリリースマネージャーの交代に変更しました。新しいキーリングファイルは、[email protected] から 66484681 により署名されています。http://mail.openjdk.java.net/pipermail/distro-pkg-dev/2014-January/025800.html を参照してください

- セキュリティ修正

- S6727821:JAAS 構成を強化します

- S7068126、CVE-2014-0373:SNMP ステータスを強化します

- S8010935:XML 処理の改善

- S8011786、CVE-2014-0368:アプレットネットワークの改善

- S8021257、S8025022、CVE-2013-5896:com.sun.corba.se.** は限定されたパッケージリストにあるべきです

- S8021271、S8021266、CVE-2014-0408:ObjC コードでのバッファリングの改善

- S8022904:JDBC パーサーを強化します

- S8022927:バイト/エンディアン変換に対する入力検証

- S8022935:Apache リゾルバークラスを強化します

- S8022945:JNDI 実装クラスを強化します

- S8023057:スタートアップ時の画像表示を強化します

- S8023069、CVE-2014-0411:TLS 接続を強化します

- S8023245、CVE-2014-0423:Beans デコーディングを強化します

- S8023301:ジェネリッククラスを強化します

- S8023338:jarsigner を更新してタイムスタンプを促進します

- S8023672:jar ファイル検証を強化します

- S8024302:jar 検証を明確化します

- S8024306、CVE-2014-0416:サブジェクトの一貫性を強化します

- S8024530:フォントプロセスのレジリエンスを強化します

- S8024867:ロギングスタートアップを強化します

- S8025014:セキュリティポリシーを強化します

- S8025018、CVE-2014-0376:JAX-P セットアップを強化します

- S8025026、CVE-2013-5878:正規化を強化します

- S8025034、CVE-2013-5907:レイアウト検索を改善します

- S8025448:リスニングイベントを強化します

- S8025758、CVE-2014-0422:ネーミング管理を強化します

- S8025767、CVE-2014-0428:IIOP Stream を強化します

- S8026172:UI 管理を強化します

- S8026176:ドキュメント印刷を強化します

- S8026193、CVE-2013-5884:CORBA スタブファクトリを強化します

- S8026204:認証ログインコンテキストを強化します

- S8026417、CVE-2013-5910:XML 正規化を強化します

- S8026502:java/lang/invoke/MethodHandleConstants.java が全プラットフォームで失敗します

- S8027201、CVE-2014-0376:JAX-P セットアップを強化します

- S8029507、CVE-2013-5893:JVM メソッド処理を強化します

- S8029533:回帰:
closed/java/lang/invoke/8008140/Test8008140.java が再び失敗します

- バックポート

- S8025255:(tz)tzdata2013g をサポートします

- S8026826:8010935 に対する JDK 7 の修正によりビルドが中断しました

- バグ修正

- PR1618:vm.make に defs.make が含まれているため、VM_LITTLE_ENDIAN はゼロビルドで定義されます

- D729448:mips および mipsel での 32 ビットアラインメント

- PR1623:OpenJDK 6 でブートストラップする場合での、OpenJDK 6 と 7 のクラス間における競合

- ヘルパースクリプトの update.py を追加して、openjdk tarball を hg repo からダウンロードします

- Buildrequire は、無条件で使用されるため、無条件で終了します。

- JIT 以外のアーキテクチャでのテストが、実際に無効化されます。(Ulrich Weigand 氏から)

- X および pulse/alsa を必要としないヘッドレスサブパッケージを追加します

- 新しい java-atk-wrapper パッケージが必要となる特別なサブパッケージにアクセシビリティを追加します

- java-1.7.0-openjdk-java-access-bridge-idlj.patch を削除しました

- java-1.7.0-openjdk-java-access-bridge-tck.patch を削除しました

- java-access-bridge-1.26.2.tar.bz2 を削除しました

- リフレッシュしました

- java-1.7.0-openjdk-java-access-bridge-security.patch

- --with テストを使用している実行中テストに対するサポートを追加します

- これは jit 以外のアーキテクチャで無視されます

- bcond_with がこれらを使用するため、定義よりグローバルを優先します

- 前方宣言 aarch64 arch マクロ

- arm と aarch64 に対して archbuild/archinstall マクロを定義します

- ファイルリストでこれらのマクロを使用することで、数個の ifarch 条件を削除します

- ブートストラップモードでは ecj-bootstrap が必要です(mmatz により注記済み)

- ブートストラップモードで vim および quilt をインストールしません

- ブートストラップモードの数件の拡張機能

- 利用可能な wia --with ブートストラップ

- docs、javadoc パッケージを無効にします

- ブートストラップでの構成引数を修正します

- バージョン化されていない SDK ディレクトリリンクを、-devel パッケージのファイルリストに追加します(%post からの更新代替手段を修正します)。

- gcj そのものによるブートストラップのサポートが(含まれている ecj を直接使用)、追加されます。PowerPC のスタックサイズが増加されます(java-1.7.0-openjdk-ppc-zero-jdk.patch を修正)。ppc64le のサポートが追加されます。

- PowerPC のスタックオーバーフローが修正されます(java-1_7_0-openjdk-ppc-stackoverflow.patch)

ソリューション

影響を受ける java-1_7_0-openjdk パッケージを更新してください。

関連情報

http://www.nessus.org/u?3c8576e2

https://bugzilla.novell.com/show_bug.cgi?id=858818

https://lists.opensuse.org/opensuse-updates/2014-01/msg00105.html

https://lists.opensuse.org/opensuse-updates/2014-01/msg00107.html

プラグインの詳細

深刻度: Critical

ID: 75413

ファイル名: openSUSE-2014-95.nasl

バージョン: 1.5

タイプ: local

エージェント: unix

公開日: 2014/6/13

更新日: 2021/1/19

サポートされているセンサー: Nessus Agent

リスク情報

VPR

リスクファクター: Medium

スコア: 6.5

CVSS v2

リスクファクター: Critical

Base Score: 10

ベクトル: AV:N/AC:L/Au:N/C:C/I:C/A:C

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:java-1_7_0-openjdk, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-accessibility, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-debugsource, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-demo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-demo-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-devel, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-devel-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-headless, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-headless-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-javadoc, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-src, cpe:/o:novell:opensuse:13.1

必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

パッチ公開日: 2014/1/22

参照情報

CVE: CVE-2013-5878, CVE-2013-5884, CVE-2013-5893, CVE-2013-5896, CVE-2013-5907, CVE-2013-5910, CVE-2014-0368, CVE-2014-0373, CVE-2014-0376, CVE-2014-0408, CVE-2014-0411, CVE-2014-0416, CVE-2014-0422, CVE-2014-0423, CVE-2014-0428