Oracle Linux 5:java-1.6.0-openjdk (ELSA-2009-0377)

critical Nessus 插件 ID 67831

简介

远程 Oracle Linux 主机缺少一个或多个安全更新。

描述

来自 Red Hat 安全公告 2009:0377:

更新后的 java-1.6.0-openjdk 程序包修复了多个安全问题,现在可用于 Red Hat Enterprise Linux 5。

Red Hat 安全响应团队将此更新评级为具有重要安全影响。

这些程序包提供 OpenJDK 6 Java Runtime Environment 和 OpenJDK 6 Software Development Kit。Java Runtime Environment (JRE) 包含用户在运行使用 Java 编程语言编写的应用程序时所需的软件和工具。

在 Java Virtual Machine (JVM) 处理临时字体文件的方式中发现一个缺陷。恶意小程序可利用此缺陷来占用大量磁盘空间,从而导致拒绝服务。
(CVE-2006-2426)

在(OpenJDK 中嵌入的)LittleCMS 中发现一个内存泄漏缺陷。如果用于打开特别构建的图像,使用颜色配置文件的应用程序可以占用过量内存,并且可能在使用所有可用内存后崩溃。(CVE-2009-0581)

在 LittleCMS 处理颜色配置文件的方式中发现可导致基于堆的缓冲区溢出的多种整数溢出以及多种不充分的输入验证缺陷。攻击者可以使用这些缺陷创建特别构建的图像文件,在打开时导致 Java 应用程序崩溃或可能执行任意代码。(CVE-2009-0723、CVE-2009-0733)

在 LittleCMS 中发现一个空指针取消引用缺陷。使用颜色配置文件的应用程序可能会在转换特别构建的图像文件时崩溃。(CVE-2009-0793)

Java API for XML Web Services (JAX-WS) 服务端点处理中的缺陷可允许远程攻击者造成托管 JAX-WS 服务端点的服务器应用程序拒绝服务。
(CVE-2009-1101)

Java Runtime Environment 初始化 LDAP 连接的方式中存在一个缺陷,可允许经过认证的远程用户造成 LDAP 服务拒绝服务。(CVE-2009-1093)

Java Runtime Environment LDAP 客户端中的一个缺陷可允许来自 LDAP 服务器的恶意数据造成在 LDAP 客户端上加载任意代码,然后运行。(CVE-2009-1094)

在 Java Runtime Environment unpack200 功能中发现多个缓冲区溢出缺陷。不受信任的小程序可以扩展自己的权限,从而读取和写入本地文件并利用运行该小程序的用户的权限执行本地应用程序。(CVE-2009-1095、CVE-2009-1096)

Java Runtime Environment 虚拟机代码生成功能中的一个缺陷可允许不受信任的小程序扩展自己的权限。不受信任的小程序可以扩展自己的权限,从而读取和写入本地文件并利用运行该小程序的用户的权限执行本地应用程序。
(CVE-2009-1102)

在闪屏处理中发现一个缓冲区溢出缺陷。远程攻击者可以扩展权限来读取和写入本地文件并以运行 java 进程的用户的权限执行本地应用程序。(CVE-2009-1097)

在 GIF 图像的处理方式中发现一个缓冲区溢出缺陷。远程攻击者可以扩展权限来读取和写入本地文件并以运行 java 进程的用户的权限执行本地应用程序。(CVE-2009-1098)

注意:在 java-1.6.0-openjdk 中,只有在调用“appletviewer”应用程序时,此公告中涉及小程序的缺陷 CVE-2009-1095、 CVE-2009-1096 和 CVE-2009-1102 才会触发。

建议所有 java-1.6.0-openjdk 用户升级这些更新后的程序包,其中解决了这些问题。必须重新启动所有正在运行的 OpenJDK Java 实例,才能使更新生效。

解决方案

更新受影响的 java-1.6.0-openjdk 程序包。

另见

https://oss.oracle.com/pipermail/el-errata/2009-April/000953.html

插件详情

严重性: Critical

ID: 67831

文件名: oraclelinux_ELSA-2009-0377.nasl

版本: 1.16

类型: local

代理: unix

发布时间: 2013/7/12

最近更新时间: 2021/1/14

支持的传感器: Frictionless Assessment Agent, Nessus Agent

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.8

矢量: AV:N/AC:L/Au:N/C:C/I:C/A:C

时间矢量: E:POC/RL:OF/RC:C

漏洞信息

CPE: p-cpe:/a:oracle:linux:java-1.6.0-openjdk, p-cpe:/a:oracle:linux:java-1.6.0-openjdk-demo, p-cpe:/a:oracle:linux:java-1.6.0-openjdk-devel, p-cpe:/a:oracle:linux:java-1.6.0-openjdk-javadoc, p-cpe:/a:oracle:linux:java-1.6.0-openjdk-src, cpe:/o:oracle:linux:5

必需的 KB 项: Host/local_checks_enabled, Host/OracleLinux, Host/RedHat/release, Host/RedHat/rpm-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2009/4/7

漏洞发布日期: 2006/5/17

参考资料信息

CVE: CVE-2006-2426, CVE-2009-0581, CVE-2009-0723, CVE-2009-0733, CVE-2009-0793, CVE-2009-1093, CVE-2009-1094, CVE-2009-1095, CVE-2009-1096, CVE-2009-1097, CVE-2009-1098, CVE-2009-1101, CVE-2009-1102

BID: 34185, 34240

RHSA: 2009:0377

CWE: 16, 20, 94, 119, 189, 399