セキュリティ修正プログラム:

  - 特定の状況で、OpenJDKのHotspotコンポーネントがSystem.arraycopy()関数の引数を適切にチェックしていないことがわかりました。信頼できないJavaアプリケーションまたはアプレットがこの欠陥を利用して、仮想マシンのメモリを破損し、Javaサンドボックスの制限を完全にバイパスする可能性があります。（CVE-2016-5582）

  - OpenJDKのHotspotコンポーネントが受信したJDWP（Java Debug Wire Protocol）パケットを適切にチェックしないことがわかりました。攻撃者はこの欠陥を利用して、デバッグされたアプリケーションのJDWPポートに被害者のブラウザーからHTTP要求を送信することに成功した場合、デバッグを有効にして実行中のJavaプログラムにデバッグコマンドを送信する可能性があります。（CVE-2016-5573）

  - OpenJDKのライブラリコンポーネントが、Jarの整合性検証に使用される一連のアルゴリズムを制限しないことが発見されました。この欠陥により、弱い署名鍵またはハッシュアルゴリズムを使用したJarファイルのコンテンツを攻撃者が変更する可能性があります。（CVE-2016-5542）

注: この更新後、MD2ハッシュアルゴリズムと1024ビット未満のRSAキーは、デフォルトでJarの整合性検証に使用できなくなります。MD5ハッシュアルゴリズムは、今後の更新によりデフォルトで無効化される予定です。新しく導入されたセキュリティのプロパティjdk.jar.disabledAlgorithmsを使用して、無効なアルゴリズムのセットを制御できます。

  - OpenJDKのJMXコンポーネントがクラスローダーを処理する方法に欠陥が見つかりました。信頼されないJavaアプリケーションやアプレットが、この欠陥を利用して、特定のJavaサンドボックスの制限をバイパスする可能性があります。（CVE-2016-5554）

  - OpenJDKのNetworkingコンポーネントがHTTPプロキシ認証を処理する方法に欠陥が見つかりました。プロキシが認証を求めた場合、JavaアプリケーションはHTTPプロキシへのプレーンテキストネットワーク接続を介してHTTPSサーバー認証の資格情報を公開する可能性があります。（CVE-2016-5597）

注: この更新後、HTTPプロキシ経由でHTTPS接続をトンネリングするときに、基本HTTPプロキシ認証を使用できなくなります。新しく導入されたシステムプロパティjdk.http.auth.proxying.disabledSchemesおよびjdk.http.auth.tunneling.disabledSchemesを使用して、それぞれのHTTPプロキシおよびHTTPS接続をプロキシするときにHTTPプロキシがリクエストできる認証スキームを制御できます。

検出

Scientific Linux セキュリティ更新: SL5.x、SL6.x､SL7.x i386/x86_64の java-1.6.0-openjdk（20170113）

critical Nessus プラグイン ID 96526

バージョン 3.6