openSUSE 安全更新:java-1_7_0-openjdk (openSUSE-SU-2013:0377-1)
critical Nessus 插件 ID 74907
语言:
简介
远程 openSUSE 主机缺少安全更新。描述
java-1_7_0-openjdk 已更新至 icedtea-2.3.6 (bnc#803379),包含多种安全和缺陷补丁:- 安全补丁
- S6563318、CVE-2013-0424:RMI 数据审查
- S6664509、CVE-2013-0425:添加日志记录上下文
- S6664528、CVE-2013-0426:查找与构建时指定的名称或值匹配的日志级别
- S6776941:CVE-2013-0427:改进线程池关闭
- S7141694、CVE-2013-0429:改进 CORBA 内部项
- S7173145:改进内存中对开机画面的呈现
- S7186945:Unpack200 改进
- S7186946:优化解包程序资源使用情况
- S7186948:改进 Swing 数据验证
- S7186952、CVE-2013-0432:改进剪贴板访问
- S7186954:改进连接性能
- S7186957:改进 Pack200 数据验证
- S7192392、CVE-2013-0443:改进客户端密钥验证
- S7192393、CVE-2013-0440:改进 TLS 消息顺序检查
- S7192977、CVE-2013-0442:工具包线程中的问题
- S7197546、CVE-2013-0428:(代理)思考创建反射代理
- S7200491:加强 JTable 布局代码
- S7200493、CVE-2013-0444:改进缓存处理
- S7200499:改进选项的数据验证
- S7200500:启动程序改进输入验证
- S7201064:改进对话检查
- S7201066、CVE-2013-0441:更改未使用字段中的修饰符
- S7201068、CVE-2013-0435:改进 UI 元素的处理
- S7201070:进行序列化以符合协议
- S7201071、CVE-2013-0433:InetSocketAddress 序列化问题
- S8000210:改进 JarFile 代码质量
- S8000537、CVE-2013-0450:情景化 RequiredModelMBean 类
- S8000539、CVE-2013-0431:反思 JMX 数据处理
- S8000540、CVE-2013-1475:改进 IIOP 类型重用管理
- S8000631、CVE-2013-1476:限制访问类构造函数
- S8001235、CVE-2013-0434:改进 JAXP HTTP 处理
- S8001242:改进 RMI HTTP 一致性
- S8001307:修改 ACC_SUPER 行为
- S8001972、CVE-2013-1478:改进图像处理
- S8002325、CVE-2013-1480:改进图像管理
- 向后移植
- S7057320:
test/java/util/concurrent/Executors/AutoShutdown.java failing intermittently
- S7083664:TEST_BUG:测试使用 c:/temp 的硬编码,但此目录可能不存在
- S7107613:javax.crypto.CryptoPermissions 中的可扩展性代理
- S7107616:javax.crypto.JceSecurityManager 中的可扩展性代理
- S7146424:单一条目类路径的通配符扩展
- S7160609:[macosx] libjvm.dylib 中的 JDK 崩溃 ( C [GeForceGLDriver+0x675a] gldAttachDrawable+0x941)
- S7160951: [macosx] ActionListener 被使用 ScreenMenuBar 的 JMenuItem 调用两次
- S7162488:VM 不打印未知的 -XX 选项
- S7169395:由于 JDK 7 对象遍历中的变更而抛出异常,并且损坏向后兼容性
- S7175616:将 TimeZone 的补丁从 JDK 8 移植到 JDK 7
- S7176485:(bf) 允许缓冲区缓存临时增长到 IOV_MAX
- S7179908:从 jdk7u7 的 hs22.2 中对 hs23.3 hsx 进行 fork 并重新初始化版本号
- S7184326:TEST_BUG:
java/awt/Frame/7024749/bug7024749.java 有拼写错误
- S7185245:被许可方源捆绑包尝试编译 JFR
- S7185471:避免 AES 密码使用同一密钥重新初始化时的密钥扩展
- S7186371:[macosx] 主菜单快捷方式未显示(7u6 回归)
- S7187834:[macosx] 在 macosx 2d 实现中使用私人 API 可造成 Apple Store 拒绝
- S7188114:(launcher) 需要适用于 Windows 的替代命令行解析器
- S7189136:从 jdk7u9 的 hs23.4 中对 hs23.5 hsx 进行 fork 并重新初始化版本号
- S7189350:对 CR 7162144 的修复失败
- S7190550:REGRESSION:有些 closed/com/oracle/jfr/api 测试因补丁 7185245 而无法编译
- S7193219:JDK 1.7 中 JComboBox 序列化失败
- S7193977:REGRESSION:Java 7 的 JavaBeans 存续性忽略属性中的“transient”标记
- S7195106:REGRESSION:在 Softreference 发布后无法获取 Icon inf
- S7195301:XML Signature DOM 实现不应使用 instanceof 来确定节点的类型
- S7195931:PKCS11.C_GetOperationState 上在使用 jre7u6+ 中的 NSS 时的 UnsatisfiedLinkError
- S7197071:各个安全供应商的 Makefiles 未包含默认清单。
- S7197652:无法运行任何签名的 JNLP 应用程序或小程序,OCSP 默认关闭
- S7198146:其他新回归测试在 windows-amd64 上无法编译
- S7198570:(tz) 支持 tzdata2012f
- S7198640:新的 hotspot 版本 - hs23.6-b04
- S7199488:[TEST] runtime/7158800/InternTest.java 因关于 PID 匹配的误报而失败。
- S7199645:将 hs23.5 版本递增到 b02
- S7199669:针对 CPU 版本重命名更新 .hgtags 文件中的标签
- S7200720:NTLM 认证时 net.dll 中发生崩溃
- S7200742:(se) Selector.select 在启动 Coherence (sol11u1) 时不阻断
- S7200762: [macosx] sun.java2d.opengl.CGLGraphicsConfig.getMaxTextureSize(Na tive Method) 中卡住
- S8000285:PostEventQueue.noEvents、EventQueue.isDispatchThread 及 SwingUtilities.invokeLater 之间死锁
- S8000286:[macosx] DnD 后视图持续滚回拖动位置
- S8000297:REGRESSION:
closed/java/awt/EventQueue/PostEventOrderingTest.java 失败
- S8000307:Jre7cert:在执行 alt + tab 时无法为所有 focus req 调用 focusgained
- S8000822:从 jdk7u11 的 hs23.6 中对 hs23.7 hsx 进行 fork 并重新初始化版本号
- S8001124:jdk7u ProblemList.txt 更新 (10/2012)
- S8001242:改进 RMI HTTP 一致性
- S8001808:为 8000327 创建测试
- S8001876:为 8000283 创建 regtest
- S8002068:构建标记:corba 代码变更无法使用新的 JDK 7 类
- S8002091:tools/launcher/ToolsOpts.java 测试自 7u11 b01 后在 Windows 上无法启动
- S8002114:对 JDK-7160951 的修复失败:[macosx] 为使用 ScreenMenuBar 的 JMenuItem 调用了两次 ActionListener
- S8002225:(tz) 支持 tzdata2012i
- S8003402:(dc) test/java/nio/channels/DatagramChannel/SendToUnresovled。
Java 在 7u11 清理后失败的问题
- S8003403:Test ShortRSAKeyWithinTLS 和 ClientJSSEServerJSSE 在 7u11 清理后失败
- S8003948:NTLM/Negotiate 认证问题
- S8004175:java.security 中添加的限制程序包在 java.security-{macosx, solaris, windows} 中缺失
- S8004302:自 jdk6u39b01 以来 javax/xml/soap/Test7013971.java 失败
- S8004341:使用 7u11 b06 时两次 JCK 测试失败
- S8005615:Java Logger 无法加载 tomcat 记录器实现 (JULI)
- 缺陷补丁
- 使用 Zero 的 HotSpot 修复版本,以重新应用所有修补程序。
- PR1295:jamvm 并行解包失败
- 删除了 icedtea-2.3.2-fix-extract-jamvm-dependency.patch
- 删除了 icedtea-2.3.3-refresh-6924259-string_offset.patch
- 少数几个缺失的 /openjdk/%{origin}/ 变更
解决方案
更新受影响的 java-1_7_0-openjdk 程序包。另见
https://bugzilla.novell.com/show_bug.cgi?id=803379
https://lists.opensuse.org/opensuse-updates/2013-03/msg00003.html
插件详情
严重性: Critical
ID: 74907
文件名: openSUSE-2013-165.nasl
版本: 1.9
类型: local
代理: unix
发布时间: 2014/6/13
最近更新时间: 2022/5/25
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 8.7
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
漏洞信息
CPE: p-cpe:/a:novell:opensuse:java-1_7_0-openjdk, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-debugsource, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-demo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-demo-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-devel, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-devel-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-javadoc, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-src, cpe:/o:novell:opensuse:12.2
必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
可利用: true
易利用性: Exploits are available
补丁发布日期: 2013/2/21
漏洞发布日期: 2013/1/31
CISA 已知可遭利用的漏洞到期日期: 2022/6/15
可利用的方式
Core Impact
Metasploit (Java Applet JMX Remote Code Execution)
参考资料信息
CVE: CVE-2013-0424, CVE-2013-0425, CVE-2013-0426, CVE-2013-0427, CVE-2013-0428, CVE-2013-0429, CVE-2013-0431, CVE-2013-0432, CVE-2013-0433, CVE-2013-0434, CVE-2013-0435, CVE-2013-0440, CVE-2013-0441, CVE-2013-0442, CVE-2013-0443, CVE-2013-0444, CVE-2013-0450, CVE-2013-1475, CVE-2013-1476, CVE-2013-1478, CVE-2013-1480