Fedora 19:java-1.7.0-openjdk-1.7.0.19-2.3.9.6.fc19 (2013-6368)
critical Nessus 插件 ID 66224
语言:
简介
远程 Fedora 主机缺少安全更新。描述
此更新正在修复 - https://admin.fedoraproject.org/updates/FEDORA-2013-5861/java-1.7.0-openjdk-1.7.0.19-2.3.9.1.fc19因此,除了下面列出的预期继承补丁以外,它还包含新的辅助功能程序包:程序包辅助功能 汇总:OpenJDK 辅助功能连接器 要求:java-atk-wrapper 要求:
java-1.7.0-openjdk-1.7.0.19-2.3.9.6.fc19
描述 通过使用 java-at-wrapper 在 OpenJDK 中启用辅助功能支持。这允许兼容的、基于 at-spi2 的辅助功能程序为 AWT 和基于 Swing 的程序工作。请注意,java-atk-wrapper 仍处于测试阶段,同时 OpenJDK 本身仍处于与辅助功能配合使用的调整阶段。尽管作用相当不错,但辅助功能仍有已知问题,因此,除非确实需要,否则不要安装此程序包。
此外,备用存档 tarball 已更新。
继承的补丁:
- 已更新到更新后的 IcedTea 2.3.9,含有其中一个安全修复的补丁
- 修复了字体字形偏移 arm...)builds!
- 为已创建副本的 classes.jsa 新增了客户端
- 已更新到 IcedTea 2.3.9,包含最新的安全修补程序
- 920245 CVE-2013-0401 OpenJDK:不明沙盒绕过(CanSecWest 2013,AWT)
- 920247 CVE-2013-1488 OpenJDK:不明沙盒绕过(CanSecWest 2013,Libraries)
- 952387 CVE-2013-1537 OpenJDK:默认情况下启用远程代码加载(RMI,8001040)
- 952389 CVE-2013-2415 OpenJDK:以不安全的权限创建临时文件(JAX-WS,8003542)
- 952398 CVE-2013-2423 OpenJDK:在 MethodHandles 中进行不正确的 setter 访问检查(Hostspot,8009677)
- 952509 CVE-2013-2424 OpenJDK:MBeanInstantiator 不充分的类访问检查(JMX,8006435)
- 952521 CVE-2013-2429 OpenJDK:JPEGImageWriter 状态损坏(ImageIO,8007918)
- 952524 CVE-2013-2430 OpenJDK:JPEGImageReader 状态损坏(ImageIO,8007667)
- 952550 CVE-2013-2436 OpenJDK:Wrapper.convert 不充分的类型检查(Libraries,8009049)
- 952638 CVE-2013-2420 OpenJDK:图像处理漏洞(2D,8007617)
- 952640 CVE-2013-1558 OpenJDK:
java.beans.ThreadGroupContext 缺少限制(Beans,7200507)
- 952642 CVE-2013-2422 OpenJDK:MethodUtil trampoline 类的不正确限制(Libraries,8009857)
- 952645 CVE-2013-2431 OpenJDK:Hotspot 内在框架漏洞(Hotspot,8004336)
- 952646 CVE-2013-1518 OpenJDK:JAXP 缺少安全限制(JAXP,6657673)
- 952648 CVE-2013-1557 OpenJDK:
LogStream.setDefaultStream() 缺少安全限制(RMI,8001329)
- 952649 CVE-2013-2421 OpenJDK:Hotspot MethodHandle 查找错误(Hotspot,8009699)
- 952653 CVE-2013-2426 OpenJDK:ConcurrentHashMap 不正确地调用 defaultReadObject() 方法(Libraries,8009063)
- 952656 CVE-2013-2419 OpenJDK:字体处理错误(2D,8001031)
- 952657 CVE-2013-2417 OpenJDK:网络 InetAddress 串行化信息泄露(Networking,8000724)
- 952708 CVE-2013-2383 OpenJDK:字体布局和字形表错误(2D,8004986)
- 952709 CVE-2013-2384 OpenJDK:字体布局和字形表错误(2D,8004987)
- 952711 CVE-2013-1569 OpenJDK:字体布局和字形表错误(2D,8004994)
- buildver 同步到 b19
- 已重写 java-1.7.0-openjdk-java-access-bridge-security.patch
- 修复了优先级(已删除一个零)
- 未应用 patch2
- 新增了 patch107 abrt_friendly_hs_log_jdk7.patch
- 删除了 patch2 java-1.7.0-openjdk-java-access-bridge-idlj.patch
- 删除了 classes.jsa 的冗余 rm,副本正在对其进行正确处理 修复辅助存档中的 FTBFS
- 已更新到更新后的 IcedTea 2.3.9,含有其中一个安全修复的补丁
- 修复了字体字形偏移警告 - 该版本尚未更新非热点 (arm...) 版本!
- 为已创建副本的 classes.jsa 新增了客户端
- 已更新到 IcedTea 2.3.9,包含最新的安全修补程序
- 920245 CVE-2013-0401 OpenJDK:不明沙盒绕过(CanSecWest 2013,AWT)
- 920247 CVE-2013-1488 OpenJDK:不明沙盒绕过(CanSecWest 2013,Libraries)
- 952387 CVE-2013-1537 OpenJDK:默认情况下启用远程代码加载(RMI,8001040)
- 952389 CVE-2013-2415 OpenJDK:以不安全的权限创建临时文件(JAX-WS,8003542)
- 952398 CVE-2013-2423 OpenJDK:在 MethodHandles 中进行不正确的 setter 访问检查(Hostspot,8009677)
- 952509 CVE-2013-2424 OpenJDK:MBeanInstantiator 不充分的类访问检查(JMX,8006435)
- 952521 CVE-2013-2429 OpenJDK:JPEGImageWriter 状态损坏(ImageIO,8007918)
- 952524 CVE-2013-2430 OpenJDK:JPEGImageReader 状态损坏(ImageIO,8007667)
- 952550 CVE-2013-2436 OpenJDK:Wrapper.convert 不充分的类型检查(Libraries,8009049)
- 952638 CVE-2013-2420 OpenJDK:图像处理漏洞(2D,8007617)
- 952640 CVE-2013-1558 OpenJDK:
java.beans.ThreadGroupContext 缺少限制(Beans,7200507)
- 952642 CVE-2013-2422 OpenJDK:MethodUtil trampoline 类的不正确限制(Libraries,8009857)
- 952645 CVE-2013-2431 OpenJDK:Hotspot 内在框架漏洞(Hotspot,8004336)
- 952646 CVE-2013-1518 OpenJDK:JAXP 缺少安全限制(JAXP,6657673)
- 952648 CVE-2013-1557 OpenJDK:
LogStream.setDefaultStream() 缺少安全限制(RMI,8001329)
- 952649 CVE-2013-2421 OpenJDK:Hotspot MethodHandle 查找错误(Hotspot,8009699)
- 952653 CVE-2013-2426 OpenJDK:ConcurrentHashMap 不正确地调用 defaultReadObject() 方法(Libraries,8009063)
- 952656 CVE-2013-2419 OpenJDK:字体处理错误(2D,8001031)
- 952657 CVE-2013-2417 OpenJDK:网络 InetAddress 串行化信息泄露(Networking,8000724)
- 952708 CVE-2013-2383 OpenJDK:字体布局和字形表错误(2D,8004986)
- 952709 CVE-2013-2384 OpenJDK:字体布局和字形表错误(2D,8004987)
- 952711 CVE-2013-1569 OpenJDK:字体布局和字形表错误(2D,8004994)
- buildver 同步到 b19
- 已重写 java-1.7.0-openjdk-java-access-bridge-security.patch
- 修复了优先级(已删除一个零)
- 未应用 patch2
- 新增了 patch107 abrt_friendly_hs_log_jdk7.patch
- 删除了 patch2 java-1.7.0-openjdk-java-access-bridge-idlj.patch
- 删除了 classes.jsa 的冗余 rm,副本正在对其进行正确处理
请注意,Tenable Network Security 已直接从 Fedora 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。
解决方案
更新受影响的 java-1.7.0-openjdk 程序包。另见
插件详情
严重性: Critical
ID: 66224
文件名: fedora_2013-6368.nasl
版本: 1.13
类型: local
代理: unix
发布时间: 2013/4/26
最近更新时间: 2021/1/11
支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
风险信息
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 7.8
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
漏洞信息
CPE: p-cpe:/a:fedoraproject:fedora:java-1.7.0-openjdk, cpe:/o:fedoraproject:fedora:19
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list
可利用: true
易利用性: Exploits are available
补丁发布日期: 2013/4/23
漏洞发布日期: 2013/4/23
可利用的方式
Metasploit (Java Applet Reflection Type Confusion Remote Code Execution)
参考资料信息
BID: 58504, 58507, 59131, 59141, 59153, 59159, 59162, 59165, 59166, 59167, 59170, 59179, 59184, 59187, 59190, 59194, 59206, 59212, 59213, 59219, 59228, 59243
FEDORA: 2013-6368