セキュリティ修正プログラム:

  - OpenJDKのJCEコンポーネントで、信頼できないライブラリの検索パスの欠陥が見つかりました。ローカルの攻撃者がこの欠陥を利用して、JCEを使用してJavaアプリケーションに攻撃者が制御するライブラリを読み込ませて、権限を昇格させる可能性があります。（CVE-2017-3511）

  - XML文書の解析時に、OpenJDKのJAXPコンポーネントが解析ツリーのサイズ制限を正しく実施していなかったことがわかりました。特別に細工されたXMLドキュメントをJavaアプリケーションに解析させることができる攻撃者がこの欠陥を利用して、過剰な量のCPUとメモリを消費させる可能性があります。（CVE-2017-3526）

  - OpenJDKのNetworkingコンポーネントのHTTPクライアント実装が、異なるセキュリティコンテキストでNTLM認証接続をキャッシュして再利用する可能性があることがわかりました。リモートの攻撃者がこの欠陥を利用して、Javaアプリケーションに異なるユーザーの資格情報で認証されたHTTPリクエストを実行させる可能性があります。（CVE-2017-3509）

注この更新により、「jdk.ntlm.cache」システムプロパティへのサポートが追加されます。falseに設定されたとき、NTLM接続と認証のキャッシュを防止してこの問題を防ぐことができます。
ただし、デフォルトではキャッシュは有効なままです。

  - OpenJDKのセキュリティコンポーネントでは、Jarの整合性検証に許可されている一連のアルゴリズムをユーザーが制限できないことがわかりました。この欠陥により、弱い署名鍵またはハッシュアルゴリズムを使用した Jar ファイルのコンテンツを攻撃者が変更する可能性があります。(CVE-2017-3539)

注意: この更新により、SLSA-2016:2079 エラータの一部としてリリースされた CVE-2016-5542 の修正が拡張され、Jar 整合性の検証中の MD5 ハッシュアルゴリズムを jdk.jar.disabledAlgorithms セキュリティプロパティに追加することで許可することができなくなりました。

  - OpenJDKのNetworkingコンポーネントのFTPおよびSMTPクライアント実装に、改行の挿入の欠陥が発見されました。リモートの攻撃者はこうした欠陥を利用して、Java アプリケーションによって確立された FTP 接続または SMTP 接続を操作する可能性があります。(CVE-2017-3533、CVE-2017-3544)

注意: icedtea-web パッケージで提供されるウェブブラウザプラグインがインストールされている場合、ユーザーが悪意のあるウェブサイトにアクセスすると、Java アプレットにより引き起こされる問題が、ユーザーとのやり取りなしに悪用される可能性があります。

バグ修正プログラム:

  - 標的の仮想マシンにあるJDWP（Java Debug Wire Protocol）「invokeMethod」コマンドを使用してメソッドを呼び出すと、JDWPは、メソッドの呼び出しに包含されているすべてのオブジェクトと返された参照型の引数のグローバル参照を作成します。以前は、このような引数用に作成されたグローバル参照は、「invokeMethod」が終了した後にガベージコレクタによって収集（割り当て解除）されませんでした。そのため、メモリリークが発生し、そのようなオブジェクトへの参照が解放されなかったため、デバッグされたアプリケーションがメモリ不足エラーで終了する可能性がありました。このバグは修正され、前述の問題は発生しなくなりました。

検出

Scientific Linux セキュリティ更新 java-1.8.0-openjdk SL7.x x86_64 の20170421

high Nessus プラグイン ID 99622

バージョン 3.8