Debian DSA-2311-1：openjdk-6 多个漏洞

critical Nessus 插件 ID 56307

语言：

简介

远程 Debian 主机缺少与安全相关的更新。

描述

已在 OpenJDK（Java SE 平台的实现）中发现多个漏洞。通用漏洞和暴露计划识别以下问题：

- CVE-2011-0862 JPEG 和字体解析器中的整数溢出错误允许不受信任的代码（包括小程序）提升自己的权限。

- CVE-2011-0864 OpenJDK 中的即时编译器 Hotspot 错误地处理某些字节代码指令，允许不受信任的代码（包括小程序）造成虚拟机崩溃。

- CVE-2011-0865 签名对象反序列化中的争用条件可能允许不受信任的代码修改签名的内容，同时还能保持签名不变。

- CVE-2011-0867 不受信任的代码（包括小程序）可能访问网络接口的相关信息，这些信息本不应被公开。（请注意，接口 MAC 地址仍向不受信任的代码开放。）

- CVE-2011-0868 浮点型到长整型的转换可能溢出，从而允许不受信任的代码（包括小程序）造成虚拟机崩溃。

- CVE-2011-0869 不受信任的代码（包括小程序）可通过 SOAP 连接对代理设置进行重新配置，以此来拦截 HTTP 请求。

- CVE-2011-0871 不受信任的代码（包括小程序）可通过 Swing MediaTracker 代码来提升自己的权限。

此外，由于稳定性问题，本更新会从 i386 和 amd64 中删除 Zero/Shark 及 Cacao Hotspot 变体的支持。
这些 Hotspot 变体包含在 openjdk-6-jre-zero 和 icedtea-6-jre-cacao 程序包内，且这些程序包必须在此更新过程中删除。