SUSE SLED11 セキュリティ更新:java-1_7_0-openjdk(SUSE-SU-2016:0956-1)

high Nessus プラグイン ID 90397
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモート SuSE ホストに1つ以上のセキュリティ更新がありません。

説明

OpenJDK Java java-1_7_0-openjdk が 2.6.5 に更新され、次の問題が修正されました:

2.6.5 への更新 - OpenJDK 7u99 (bsc#972468)

- セキュリティ修正

- S8152335、CVE-2016-0636:MethodHandle の一貫性を向上します。これにより、攻撃者がコードを注入する可能性があります。

- OpenJDK 7 u99 ビルド 0 のインポート

- S6425769、PR2858:JMX リモートコネクタをバインドするアドレスを指定できるようにします

- S6961123:setWMClass は、WM_CLASS 文字列を NULL 終端にできません

- S8145982、PR2858:JMXInterfaceBindingTest が間欠的に失敗します

- S8146015、PR2858:JMXInterfaceBindingTest が IPv6 アドレスに関して間欠的に失敗します

- バックポート

- S8028727、PR2814:[parfait] jdk.src.share.native.sun.security.ec に対する b116 からの警告:JNI 保留例外

- S8048512、PR2814:jdk/src/share/native/sun/security/ec/ECC_JNI.cpp 内のメモリが初期化されていません

- S8071705。PR2819、RH1182694:複数の画面を垂直に積み重ねる際に、Java アプリケーションメニューが誤作動します

- S8150954、PR2866、RH1176206:AWT Robot は、GNOME Shell と非互換です

- バグ修正

- PR2803:システム CUPS がオプションになります

- PR2886:「stap」実行ファイルの位置がハードコードされています

- PR2893:test/tapset/jstaptest.pl は実行可能であるべきです

- PR2894:make チェックに消失したテストディレクトリを追加します。

- CACAO

- PR2781、CA195:typeinfo.cpp:typeinfo_merge_nonarrays:
アサーション「dest && result && x.any && y.any」が失敗しました。

- AArch64 ポート

- PR2852:大型コードキャッシュのサポートを追加します

- PR2852:ReservedCodeCacheSize のデフォルト制限を AArch64 のみに適用します。

- S8081289、PR2852:aarch64:インタプリターに RewriteFrequentPairs のサポートを追加します

- S8131483、PR2852:aarch64:無効な stlxr 命令

- S8133352、PR2852:aarch64:制約された予測不能な命令を生成します

- S8133842、PR2852:aarch64:C2 が int shifts >=32 のある無効な命令を生成します

- S8134322、PR2852:AArch64:C2 バイアス付きロック実装の複数のエラーを修正します

- S8136615、PR2852:aarch64:CmpP 0 が後続する際の DecodeN を削減します

- S8138575、PR2852:プロファイルカウンター用に生成されるコードを向上します

- S8138641、PR2852:aarch64 用の C2 覗き穴がデフォルトで無効になります

- S8138966、PR2852:ParallelGC 実行での間欠的な SEGV

- S8143067、PR2852:aarch64:javac の保証失敗

- S8143285、PR2852:aarch64:ConstantPoolCacheEntry が解決されるかどうかを点検する際のロード取得がありません

- S8143584、PR2852:ロード取得により定数プールタグおよびクラスステータスをロードします

- S8144201、PR2852:aarch64:
jdk/test/com/sun/net/httpserver/Test6a.java

が --enable-unlimited-crypto で失敗します

- S8144582、PR2852:AArch64 は正しいブランチプロファイルデータを生成しません

- S8146709、PR2852:AArch64:byte_map_base に関する ADRP の使用が不正確です

- S8147805、PR2852:aarch64:インライン Unsafe.getAndSetObject による C1 セグメンテーション違反

- S8148240、PR2852:aarch64:javac でのランダムで頻繁でない NULL ポインター例外

- PPC および AIX ポート

- S8034797、PR2851:AIX:8028280 後に os_aix.cpp の中の os::naked_short_sleep() を修正します

- S8139258、PR2851:PPC64LE:15 個の浮動小数点数をネイティブ呼び出しに渡す際の引数渡し問題

- S8139421、PR2851:PPC64LE:
MacroAssembler::bxx64_patchable がレジスタ R12 を kill します

注意:Tenable Network Security は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。

ソリューション

この SUSE セキュリティ更新をインストールするには、YaST online_update を使用してください。
または、お使いの製品用に一覧になったコマンドを実行することも可能です。

SUSE Linux Enterprise Desktop 11-SP4:

zypper in -t patch sledsp4-java-1_7_0-openjdk-12493=1

SUSE Linux Enterprise Debuginfo 11-SP4:

zypper in -t patch dbgsp4-java-1_7_0-openjdk-12493=1

お使いのシステムを最新の状態にするには、「zypper パッチ」を使用してください。

関連情報

https://bugzilla.suse.com/show_bug.cgi?id=972468

https://www.suse.com/security/cve/CVE-2016-0636/

http://www.nessus.org/u?9226bb77

プラグインの詳細

深刻度: High

ID: 90397

ファイル名: suse_SU-2016-0956-1.nasl

バージョン: 2.9

タイプ: local

エージェント: unix

公開日: 2016/4/7

更新日: 2021/1/6

依存関係: ssh_get_info.nasl

リスク情報

VPR

リスクファクター: High

スコア: 7.4

CVSS v2

リスクファクター: High

Base Score: 9.3

Temporal Score: 6.9

ベクトル: AV:N/AC:M/Au:N/C:C/I:C/A:C

現状ベクトル: E:U/RL:OF/RC:C

CVSS v3

リスクファクター: High

Base Score: 8.1

Temporal Score: 7.1

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:java-1_7_0-openjdk, p-cpe:/a:novell:suse_linux:java-1_7_0-openjdk-demo, p-cpe:/a:novell:suse_linux:java-1_7_0-openjdk-devel, cpe:/o:novell:suse_linux:11

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2016/4/5

脆弱性公開日: 2016/3/24

参照情報

CVE: CVE-2016-0636