openSUSE 安全更新:java-1_7_0-openjdk (openSUSE-SU-2012:1154-1)

critical Nessus 插件 ID 74748

简介

远程 openSUSE 主机缺少安全更新。

描述

Java-1_7_0-openjdk 已更新,修复了远程漏洞利用 (CVE-2012-4681)。

此外还进行了以下缺陷修复:

- 修复 ARM 和 i586 上的构建

- 删除不再使用的文件

- 使用 rpmbuild (osc build) --with zero 可启用
zero 版本

- 添加 zero 需要的 hotspot 2.1

- 修复 %{ix86} 上的文件列表

- 安全补丁

- S7162476,CVE-2012-1682:通过 ClassFinder 的 XMLDecoder 安全问题

- S7194567、CVE-2012-3136:改进 java.beans 对象的长期存续性

- S7163201,CVE-2012-0547:简化工具包内部引用

- RH852051、CVE-2012-4681、S7162473:重新引入 6788531 中删除的 PackageAccessible 检查。

- OpenJDK

- 修复 2.3 版的 Zero FTBFS 问题。

- S7180036:Mac 平台上因补丁 # 7163201 而造成的版本失败

- S7182135:无法直接使用某些编辑器

- S7183701:[TEST] closed/java/beans/security/TestClassFinder.java –
编译失败

- S7185678:
java/awt/Menu/NullMenuLabelTest/NullMenuLabelTest.java failed with NPE

- 缺陷补丁

- PR1149:Zero 特定修补程序文件未打包

- 将 icedtea tarball 再次用于版本,这会导致终止以下文件,因为它们已在 tarball 及简化的 %prep 和 %build 中

- 终止 class-rewriter.tar.gz

- 终止 systemtap-tapset.tar.gz

- 终止 desktop-files.tar.gz

- 终止 nss.cfg

- 终止 pulseaudio.tar.gz

- 终止 remove-intree-libraries.sh

- 从 icedtea7-forest-2.3 为 openjdk、corba、jaxp、jaxws、jdk、langtools 及 hotspot 添加存档

- 终止 rhino.patch、pulse-soundproperties 和 systemtap 修补程序

- 在创建之前移动 gnome bridge 程序包,因为修补程序在 openjdk 构建后失败非常令人恼火

- 使用 %files 部分的显式文件属性防止以后出现文件权限问题(例如 bnc#770040)

- 更改了版本方案,因此现在匹配 Oracle Java 1.7.0.6 == Java7 u 6

- 更新到 icedtea-2.3.1 / OpenJDK7 u6 (bnc#777499)

- 安全补丁

- RH852051、CVE-2012-4681:重新引入 6788531 中删除的 PackageAccessible 检查。

- 缺陷补丁

- PR902:PulseAudioClip getMicrosecondsLength() 以毫秒(而非微秒)返回时长

- PR986:由于堆大小最大值较小,IcedTea7 无法使用 IcedTea6 CACAO 构建

- PR1050:流对象未收集垃圾

- PR1119:仅当引导 JDK 中实际缺失类(或者其一个或多个方法/字段)时才将类添加到 rt-source-files.txt

- PR1137:允许通过设置 COMPRESS_JARS 选择性压缩 JAR

- OpenJDK

- 恢复对 GConf 的动态支持。

- PR1095:添加用于 -Werror 的配置选项

- PR1101:GNU/Linux SPARC 上未定义的符号

- PR1140:不应安装不必要的 diz 文件

- S7192804、PR1138:版本不应安装 OpenJDK 的 jvisualvm 手册页

- JamVM

- ARMv6 armhf:适用于 Raspbian (Raspberry Pi) 的变更

- PPC:lwsync 不受支持时不使用它

- X86:为 i386 生成计算机相关的 stubs

- 暂停时,忽略已经消亡、分离的线程,这可防止用户在外部线程已通过 JNI 连接到 VM 并且未分离即退出时造成死锁

- 为传递自 JNI 的引用添加缺失的 REF_TO_OBJs,这可让 JamVM 运行 Qt-Jambi

- 2.3 中有很多补丁,请参阅 NEWS

解决方案

更新受影响的 java-1_7_0-openjdk 程序包。

另见

https://bugzilla.novell.com/show_bug.cgi?id=770040

https://bugzilla.novell.com/show_bug.cgi?id=777499

https://lists.opensuse.org/opensuse-updates/2012-09/msg00052.html

插件详情

严重性: Critical

ID: 74748

文件名: openSUSE-2012-592.nasl

版本: 1.7

类型: local

代理: unix

发布时间: 2014/6/13

最近更新时间: 2022/3/8

支持的传感器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

风险信息

VPR

风险因素: Critical

分数: 9.8

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.8

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

漏洞信息

CPE: p-cpe:/a:novell:opensuse:java-1_7_0-openjdk, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-debugsource, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-demo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-demo-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-devel, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-devel-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-javadoc, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-src, cpe:/o:novell:opensuse:12.2

必需的 KB 项: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

可利用: true

易利用性: Exploits are available

补丁发布日期: 2012/9/7

漏洞发布日期: 2012/8/28

CISA 已知可遭利用的漏洞到期日期: 2022/3/24

可利用的方式

CANVAS (CANVAS)

Core Impact

Metasploit (Java 7 Applet Remote Code Execution)

参考资料信息

CVE: CVE-2012-0547, CVE-2012-1682, CVE-2012-3136, CVE-2012-4681

BID: 55213, 55336, 55337, 55339