openSUSE Security 更新:java-1_7_0-openjdk(openSUSE-SU-2014:0180-1)
critical Nessus プラグイン ID 75414
Language:
概要
リモート openSUSE ホストに、セキュリティ更新がありません。説明
- -devel と -headless パッケージ間のファイル競合を修正します- 2.4.4 に更新します(bnc#858818)
- xz から gzip された tarball に変更しました(最初のものが更新中に利用できなかったため)
- キーリングファイルの期限をリリースマネージャーの交代に変更しました。新しいキーリングファイルは、[email protected] から 66484681 により署名されています。http://mail.openjdk.java.net/pipermail/distro-pkg-dev/2014-January/025800.html を参照してください
- セキュリティ修正
- S6727821:JAAS 構成を強化します
- S7068126、CVE-2014-0373:SNMP ステータスを強化します
- S8010935:XML 処理の改善
- S8011786、CVE-2014-0368:アプレットネットワークの改善
- S8021257、S8025022、CVE-2013-5896:com.sun.corba.se.** は限定されたパッケージリストにあるべきです
- S8021271、S8021266、CVE-2014-0408:ObjC コードでのバッファリングの改善
- S8022904:JDBC パーサーを強化します
- S8022927:バイト/エンディアン変換に対する入力検証
- S8022935:Apache リゾルバークラスを強化します
- S8022945:JNDI 実装クラスを強化します
- S8023057:スタートアップ時の画像表示を強化します
- S8023069、CVE-2014-0411:TLS 接続を強化します
- S8023245、CVE-2014-0423:Beans デコーディングを強化します
- S8023301:ジェネリッククラスを強化します
- S8023338:jarsigner を更新してタイムスタンプを促進します
- S8023672:jar ファイル検証を強化します
- S8024302:jar 検証を明確化します
- S8024306、CVE-2014-0416:サブジェクトの一貫性を強化します
- S8024530:フォントプロセスのレジリエンスを強化します
- S8024867:ロギングスタートアップを強化します
- S8025014:セキュリティポリシーを強化します
- S8025018、CVE-2014-0376:JAX-P セットアップを強化します
- S8025026、CVE-2013-5878:正規化を強化します
- S8025034、CVE-2013-5907:レイアウト検索を改善します
- S8025448:リスニングイベントを強化します
- S8025758、CVE-2014-0422:ネーミング管理を強化します
- S8025767、CVE-2014-0428:IIOP Stream を強化します
- S8026172:UI 管理を強化します
- S8026176:ドキュメント印刷を強化します
- S8026193、CVE-2013-5884:CORBA スタブファクトリを強化します
- S8026204:認証ログインコンテキストを強化します
- S8026417、CVE-2013-5910:XML 正規化を強化します
- S8026502:java/lang/invoke/MethodHandleConstants.java が全プラットフォームで失敗します
- S8027201、CVE-2014-0376:JAX-P セットアップを強化します
- S8029507、CVE-2013-5893:JVM メソッド処理を強化します
- S8029533:回帰:
closed/java/lang/invoke/8008140/Test8008140.java が再び失敗します
- バックポート
- S8025255:(tz)tzdata2013g をサポートします
- S8026826:8010935 に対する JDK 7 の修正によりビルドが中断しました
- バグ修正
- PR1618:vm.make に defs.make が含まれているため、VM_LITTLE_ENDIAN はゼロビルドで定義されます
- D729448:mips および mipsel での 32 ビットアラインメント
- PR1623:OpenJDK 6 でブートストラップする場合での、OpenJDK 6 と 7 のクラス間における競合
- ヘルパースクリプトの update.py を追加して、openjdk tarball を hg repo からダウンロードします
- Buildrequire は、無条件で使用されるため、無条件で終了します。
- JIT 以外のアーキテクチャでのテストが、実際に無効化されます。(Ulrich Weigand 氏から)
- X および pulse/alsa を必要としないヘッドレスサブパッケージを追加します
- 新しい java-atk-wrapper パッケージが必要となる特別なサブパッケージにアクセシビリティを追加します
- java-1.7.0-openjdk-java-access-bridge-idlj.patch を削除しました
- java-1.7.0-openjdk-java-access-bridge-tck.patch を削除しました
- java-access-bridge-1.26.2.tar.bz2 を削除しました
- リフレッシュしました
- java-1.7.0-openjdk-java-access-bridge-security.patch
- --with テストを使用している実行中テストに対するサポートを追加します
- これは jit 以外のアーキテクチャで無視されます
- bcond_with がこれらを使用するため、定義よりグローバルを優先します
- 前方宣言 aarch64 arch マクロ
- arm と aarch64 に対して archbuild/archinstall マクロを定義します
- ファイルリストでこれらのマクロを使用することで、数個の ifarch 条件を削除します
- ブートストラップモードでは ecj-bootstrap が必要です(mmatz により注記済み)
- ブートストラップモードで vim および quilt をインストールしません
- ブートストラップモードの数件の拡張機能
- 利用可能な wia --with ブートストラップ
- docs、javadoc パッケージを無効にします
- ブートストラップでの構成引数を修正します
- バージョン化されていない SDK ディレクトリリンクを、-devel パッケージのファイルリストに追加します(%post からの更新代替手段を修正します)。
- gcj そのものによるブートストラップのサポートが(含まれている ecj を直接使用)、追加されます。PowerPC のスタックサイズが増加されます(java-1.7.0-openjdk-ppc-zero-jdk.patch を修正)。ppc64le のサポートが追加されます。
- PowerPC のスタックオーバーフローが修正されます(java-1_7_0-openjdk-ppc-stackoverflow.patch)
ソリューション
影響を受ける java-1_7_0-openjdk パッケージを更新してください。参考資料
http://www.nessus.org/u?3c8576e2
https://bugzilla.novell.com/show_bug.cgi?id=858818
https://lists.opensuse.org/opensuse-updates/2014-02/msg00000.html
プラグインの詳細
深刻度: Critical
ID: 75414
ファイル名: openSUSE-2014-96.nasl
バージョン: 1.5
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2014/6/13
更新日: 2021/1/19
サポートされているセンサー: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.5
CVSS v2
リスクファクター: Critical
基本値: 10
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:java-1_7_0-openjdk, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-accessibility, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-debugsource, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-demo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-demo-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-devel, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-devel-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-headless, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-headless-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-javadoc, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-src, cpe:/o:novell:opensuse:12.3
必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu
パッチ公開日: 2014/1/22
参照情報
CVE: CVE-2013-5878, CVE-2013-5884, CVE-2013-5893, CVE-2013-5896, CVE-2013-5907, CVE-2013-5910, CVE-2014-0368, CVE-2014-0373, CVE-2014-0376, CVE-2014-0408, CVE-2014-0411, CVE-2014-0416, CVE-2014-0422, CVE-2014-0423, CVE-2014-0428