検出

プラグイン

SUSE SLED12 / SLES12 セキュリティ更新： java-1_7_0-openjdk （SUSE-SU-2016:1997-1）

critical Nessus プラグイン ID 93272

Language:

概要

リモート SuSE ホストに１つ以上のセキュリティ更新がありません。

説明

java-1_7_0-openjdk のこの更新により、以下の問題が修正されます：

- 2.6.7 - OpenJDK 7u111 に更新してください

- セキュリティ修正

- S8079718、CVE-2016-3458：IIOP 入力ストリームフッキング（bsc#989732）

- S8145446、CVE-2016-3485：完全なパイプ配置（Windows のみ）（bsc#989734）

- S8147771：Javax カスタムポリシーの下の静的保護ドメインの構築

- S8148872、CVE-2016-3500：完全な名前チェック（bsc#989730）

- S8149962、CVE-2016-3508：XML 処理のより良い説明（bsc#989731）

- S8150752：クラスデータを共有します

- S8151925：フォント参照の向上

- S8152479、CVE-2016-3550：コード済みバイトストリーム（bsc#989733）

- S8155981、CVE-2016-3606：バイトコード検証を強化します（bsc#989722）

- S8155985、CVE-2016-3598：永続的パラメーター処理（bsc#989723）

- S8158571、CVE-2016-3610：追加メソッドハンドル検証（bsc#989725）

- CVE-2016-3511（bsc#989727）

- CVE-2016-3503（bsc#989728）

- CVE-2016-3498（bsc#989729）

- OpenJDK 7 u111 ビルド 0 のインポート

- S6953295：keytool/jarsigner が使用する少数の sun.security.{util, x509, pkcs} クラスを他のパッケージに移動します

- S7060849：pack200 ビルド警告を排除します

- S7064075：セキュリティライブラリは、javac で構築しません

-Xlint:all、-deprecation -Werror

- S7069870：JDK のパーツが誤ってダイヤモンド付きの汎用配列初期化子に依存しています

- S7102686：タイムスタンプコードを再構築して、jar およびモジュールが同じコードをより容易に共有できるようにします

- S7105780：SSLSocket client/SSLEngine サーバーをテンプレートディレクトリに追加します

- S7142339：タイムスタンプを付けない際に、PKCS7.java が不必要に SHA1PRNG SecureRandom インスタンスを作成します

- S7152582：PKCS11 テストは、OS で使用できる NSS ライブラリを使用するべきです

- S7192202：keytool が未知と解析不可の両方の拡張を必ず印刷するようにさせます

- S7194449：Key Tool および Policy Tool の文字列リソースはそれぞれのパッケージに入れるべきです

- S7196855：libsoftokn.so が見つからないために、autotest.sh が ubuntu で失敗します

- S7200682：TEST_BUG：keytool/autotest.sh には今でも libsoftokn.so の問題があります

- S8002306：（se）スレッド割り込みステータスを [win] に設定して呼び出した場合、Selector.open が失敗します

- S8009636：JARSigner は RFC3161 の定義どおりに TimeStamp PolicyID（TSAPolicyID）を含みます

- S8019341：より新しいフレームワークを使用するように CookieHttpsClientTest を更新します。

- S8022228：sun/security/ssl/javax/net/ssl/NewAPIs の間欠的なテスト失敗

- S8022439：sun.security.ec の lint 警告を修正します

- S8022594：sun.nio.ch.Util/IOUtil の <clinit> の中のデッドロックの可能性

- S8023546：sun/security/mscapi/ShortRSAKey1024.sh が間欠的に失敗します

- S8036612：[parfait] jdk/src/windows/native/sun/security/mscapi/security.cpp で未解決の JNI 例外

- S8037557：SessionCacheSizeTests.java タイムアウトをテストします

- S8038837：タイムスタンプハッシュアルゴリズムを指定するための jarsigner へのサポートを追加します

- S8079410：同じ更新を共有し JDK からバージョンを構築するためのホットスポットバージョン

- S8130735： javax.swing.TimerQueue：他のタイマーが起動する際、タイマーの起動が遅れます

- S8139436：sun.security.mscapi.KeyStore が不完全なデータをロードする可能性があります

- S8144313：テスト SessionTimeOutTests はタイムアウトさせられる可能性があります

- S8146387：テスト SSLSession/SessionCacheSizeTests ソケットはタイムアウトを受け付けます

- S8146669：テスト SessionTimeOutTests が間欠的に失敗します

- S8146993：JDK-8138811 のあとで複数の javax/management/remote/mandatory 回帰テストが失敗します

- S8147857：[テスト] RMIConnector が属性名を誤ってログに記録します

- S8151841、PR3098：GCC 6 でコンパイルするためにビルドに追加フラグが必要です

- S8151876：（tz）tzdata2016d をサポートします

- S8157077：8u101 L10n リソースファイルの更新

- S8161262：gcc 4.1.2 での jdk ビルドを修正します：
-fno-strict-overflow は未知です。

- OpenJDK 7 u111 ビルド 1 のインポート

- S7081817：
test/sun/security/provider/certpath/X509CertPath/Illegal Certificates.java の失敗

- S8140344：3 桁の更新リリース番号のサポートを追加します

- S8145017：3 桁のホットスポットマイナーバージョン番号のサポートを追加します

- S8162344：CR 7064075 が行った API 変更を元に戻す必要があります

- バックポート

- S2178143、PR2958：ランタイムでバインドされた CPU の数が変化した場合、JVM がクラッシュします

- S4900206、PR3101：Math ライブラリ関数用の最悪ケースのラウンドテストを含みます

- S6260348、PR3067：GTK+ L&F JTextComponent がデスクトップキャレットのブリンク速度に従いません

- S6934604、PR3075：デフォルトで EliminateAutoBox のパーツを有効にします

- S7043064、PR3020：RI b141 および b138-nightly に対して sun/java2d/cmm/ テストが失敗しました

- S7051394、PR3020：openjdk-7-b144 を使用することで回帰テスト LoadProfileTest を実行する際に NullPointerException が発生します

- S7086015、PR3013：test/tools/javac/parser/netbeans/JavacParserTest.java を修正します

- S7119487、PR3013：JavacParserTest.java テストが Windows プラットフォームで失敗します

- S7124245、PR3020：[lcms] カラースペース CS_GRAY への ColorConvertOp がオレンジを 244,244,0 に変換するようです

- S7159445、PR3013：（javac）が強化済みの for ループで不正確な診断を放出します

- S7175845、PR1437、RH1207129：「jar uf」による予期せぬファイル権限変更

- S8005402、PR3020：色管理のためにベンチマークを用意する必要があります

- S8005530、PR3020：[lcms] デフォルトの出力先用の ColorConverOp のパフォーマンスを向上します

- S8005930、PR3020：[lcms] ColorConvertOp：アルファチャネルが入力元から出力先に転送されません。

- S8013430、PR3020：回帰：
closed/java/awt/color/ICC_Profile/LoadProfileTest/LoadPr ofileTest.java が java.io.StreamCorruptedException：無効なタイプコード：EE since 8b87 を出して失敗します

- S8014286、PR3075：6934604 変更後に java/lang/Math/DivModTests.java が失敗しました

- S8014959、PR3075：
assert(Compile::current()->live_nodes() (uint)MaxNodeLimit) が失敗しました：ライブノードの限度を超過しました

- S8019247、PR3075：コンパイル済みメソッド c8e.e.t_.getArray(Ljava/lang/Class;) の中の SIGSEGV [Ljava/lang/Object

- S8024511、PR3020：カラープロファイルデコンストラクション中のクラッシュ

- S8025429、PR3020：[parfait] sun.java2d.cmm 用の b107 からの警告：未解決の JNI 例外

- S8026702、PR3020：8025429 用の修正が Windows で jdk ビルドを破損させます

- S8026780、PR3020、RH1142587：Java_awt テストスイート用の PPC および PPC v2 がクラッシュします

- S8047066、PR3020：テスト test/sun/awt/image/bug8038000.java が ClassCastException で失敗します

- S8069181、PR3012、RH1015612：JDK 8 で JDK 1.4 コードをコンパイルする際に java.lang.AssertionError が発生します

- S8158260、PR2992、RH1341258：PPC64：Unsafe.getInt が整列されていない場合、異常な命令が生成される可能性があります（bsc#988651）

- S8159244、PR3075：C2 の文字列 concat 最適化により作成された部分的に初期化された文字列オブジェクトがエスケープする可能性があります

- バグ修正

- PR2799、RH1195203：ファイルが resources.jar にありません

- PR2900：シードを完全に処理しないために、NSS 関数の WithSeed 版は使用しないでください

- PR3091：SystemTap は複数の JDK でひどく混同されています

- PR3102：8022594 を AixPollPort に拡張します

- PR3103：linux.fontconfig.Gentoo.properties.old が作成されていない場合は、大文字と小文字の区別を、クリーンフォントで処理します

- PR3111：SystemTap テストを無効にするオプションを提供します

- PR3114：text/x-java-source をサポートするシステムの mime タイプを想定しません

- PR3115：楕円曲線暗号実装のチェックを追加します

- PR3116：Java デバッグ情報およびソースファイルのテストを追加します

- PR3118：agpl-3.0.txt へのパスが更新されません

- PR3119：メイクファイルは CA 証明書をシンボリックリンクとして扱いますが、構成チェックはそうしません

- AArch64 ポート

- S8148328、PR3100：aarch64：スタブコードでの冗長 lsr 命令

- S8148783、PR3100：aarch64：SpecJBB2013 実行中の SEGV

- S8148948、PR3100：aarch64：generate_copy_longs が誤って align() を呼び出します

- S8150045、PR3100：arraycopy によりガベージコレクション中に SATB でセグメンテーション違反が発生します

- S8154537、PR3100：AArch64：一部の整数ローテート命令はまったく発せられません

- S8154739、PR3100：AArch64：TemplateTable::fast_xaccess が誤ったモードでロードします

- S8157906、PR3100：aarch64：さらに別の一部の整数ローテート命令はまったく発せられません

SLE12 および Leap の SunEC を有効にします（bsc#982366）

- 48 ビット va 空間で実行する aarch64 を修正します（bsc#984684）</clinit>

注意：Tenable Network Security は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。

ソリューション

この SUSE セキュリティ更新をインストールするには、YaST online_update を使用してください。
または、お使いの製品用に一覧になったコマンドを実行することも可能です。

SUSE Linux Enterprise Server 12-SP1：zypper in -t patch SUSE-SLE-SERVER-12-SP1-2016-1186=1

SUSE Linux Enterprise Desktop 12-SP1：zypper in -t patch SUSE-SLE-DESKTOP-12-SP1-2016-1186=1

お使いのシステムを最新の状態にするには、「zypper パッチ」を使用してください。

参考資料

https://bugzilla.suse.com/show_bug.cgi?id=982366

https://bugzilla.suse.com/show_bug.cgi?id=984684

https://bugzilla.suse.com/show_bug.cgi?id=988651

https://bugzilla.suse.com/show_bug.cgi?id=989722

https://bugzilla.suse.com/show_bug.cgi?id=989723

https://bugzilla.suse.com/show_bug.cgi?id=989725

https://bugzilla.suse.com/show_bug.cgi?id=989727

https://bugzilla.suse.com/show_bug.cgi?id=989728

https://bugzilla.suse.com/show_bug.cgi?id=989729

https://bugzilla.suse.com/show_bug.cgi?id=989730

https://bugzilla.suse.com/show_bug.cgi?id=989731

https://bugzilla.suse.com/show_bug.cgi?id=989732

https://bugzilla.suse.com/show_bug.cgi?id=989733

https://bugzilla.suse.com/show_bug.cgi?id=989734

https://www.suse.com/security/cve/CVE-2016-3458/

https://www.suse.com/security/cve/CVE-2016-3485/

https://www.suse.com/security/cve/CVE-2016-3498/

https://www.suse.com/security/cve/CVE-2016-3500/

https://www.suse.com/security/cve/CVE-2016-3503/

https://www.suse.com/security/cve/CVE-2016-3508/

https://www.suse.com/security/cve/CVE-2016-3511/

https://www.suse.com/security/cve/CVE-2016-3550/

https://www.suse.com/security/cve/CVE-2016-3598/

https://www.suse.com/security/cve/CVE-2016-3606/

https://www.suse.com/security/cve/CVE-2016-3610/

http://www.nessus.org/u?2041c177

プラグインの詳細

深刻度: Critical

ID: 93272

ファイル名: suse_SU-2016-1997-1.nasl

バージョン: 2.8

タイプ: local

エージェント: unix

ファミリー: SuSE Local Security Checks

公開日: 2016/9/2

更新日: 2021/1/6

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.3

CVSS v2

リスクファクター: High

基本値: 9.3

現状値: 6.9

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

CVSS v3

リスクファクター: Critical

基本値: 9.6

現状値: 8.3

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:java-1_7_0-openjdk, p-cpe:/a:novell:suse_linux:java-1_7_0-openjdk-debuginfo, p-cpe:/a:novell:suse_linux:java-1_7_0-openjdk-debugsource, p-cpe:/a:novell:suse_linux:java-1_7_0-openjdk-demo, p-cpe:/a:novell:suse_linux:java-1_7_0-openjdk-demo-debuginfo, p-cpe:/a:novell:suse_linux:java-1_7_0-openjdk-devel, p-cpe:/a:novell:suse_linux:java-1_7_0-openjdk-devel-debuginfo, p-cpe:/a:novell:suse_linux:java-1_7_0-openjdk-headless, p-cpe:/a:novell:suse_linux:java-1_7_0-openjdk-headless-debuginfo, cpe:/o:novell:suse_linux:12

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2016/8/9

脆弱性公開日: 2016/7/21

参照情報

CVE: CVE-2016-3458, CVE-2016-3485, CVE-2016-3498, CVE-2016-3500, CVE-2016-3503, CVE-2016-3508, CVE-2016-3511, CVE-2016-3550, CVE-2016-3598, CVE-2016-3606, CVE-2016-3610