openSUSE 安全更新:java-1_6_0-openjdk (openSUSE-SU-2013:0777-1)

critical Nessus 插件 ID 74991
全新!漏洞优先级评级 (VPR)

Tenable 测算每个漏洞的动态 VPR。VPR 将漏洞信息与威胁情报和机器学习算法相结合,预测哪些漏洞最有可能在攻击中被利用。了解详细信息: VPR 的定义及其与 CVSS 的区别。

VPR 得分: 9.5

简介

远程 openSUSE 主机缺少安全更新。

描述

java-1_6_0-openjdk 已更新到 1.12.5 (bnc#817157)

- 安全补丁

- S6657673、CVE-2013-1518:JAXP 问题

- S7200507:重构 Introspector 内部

- S8000724、CVE-2013-2417:改进网络序列化

- S8001031、CVE-2013-2419:优化字体处理

- S8001040、CVE-2013-1537:重做 RMI 模型

- S8001322:重构反序列化

- S8001329、CVE-2013-1557:增加 RMI 记录

- S8003335:优化对终结器线程的处理

- S8003445:调整 JAX-WS 以瞄准 API

- S8003543、CVE-2013-2415:改进对 MTOM 附件的处理

- S8004261:改进输入验证

- S8004336、CVE-2013-2431:优化对方法句柄内在帧的处理

- S8004986、CVE-2013-2383:优化对字形表的处理

- S8004987、CVE-2013-2384:改进字体布局

- S8004994、CVE-2013-1569:改进对字形表的检查

- S8005432:更新对 JAX-WS 的访问

- S8005943:(进程)改进的 Runtime.exec

- S8006309:更可靠的控制面板操作

- S8006435、CVE-2013-2424:JMX 中的改进

- S8006790:改进对 Windows 的检查

- S8006795:改进字体警告消息

- S8007406:改进 AccessBridge 可访问性

- S8007617、CVE-2013-2420:优化图像验证

- S8007667、CVE-2013-2430:优化图像读取

- S8007918、CVE-2013-2429:优化图像写入

- S8009063、CVE-2013-2426:改进 ConcurrentHashMap 的可靠性

- S8009305、CVE-2013-0401:改进 AWT 数据传输

- S8009699、CVE-2013-2421:Methodhandle 查找

- S8009814、CVE-2013-1488:优化驱动程序管理

- S8009857、CVE-2013-2422:插件有问题

- RH952389:通过不安全的权限创建的临时文件

- 向后移植

- S7197906:BlockOffsetArray::power_to_cards_back() 需要处理 > 32 位偏移

- S7036559:ConcurrentHashMap 内存占用和争夺改进

- S5102804:自定义 BeanInfo 的 Introspector.getBeanInfo(Class) 中的内存泄漏:类参数(WeakCache 源自 S6397609)

- S6501644:同步 LayoutEngine *代码* 结构以匹配 ICU

- S6886358:布局代码更新

- S6963811:Introspector 中容易死锁的锁定变更

- S7017324:ICU 布局更新以来 JDK 7 中的 Kerning 崩溃

- S7064279:Introspector.getBeanInfo() 应及时释放一些资源

- S8004302:自 jdk6u39b01 以来 javax/xml/soap/Test7013971.java 失败

- S7133220:针对 7u4(部分适用于 S6657673)的 JAXP 1.4.5 Update 1 的附加修补程序

- S8009530:ICU Kern 表支持遭到破坏

- 缺陷补丁

- OJ3:修复 get_stack_bounds 内存泄漏(S7197906 的替代补丁)

- PR1362:Fedora 19 / rawhide FTBFS SIGILL

- PR1338:删除 libXp 上的依存关系

- PR1339:简化 rhino 类重写程序以避免使用并发

- PR1336:Fedora 17/18 启动失败

- PR1319:将 #ifdef 修正为 #if

- PR1402:通过 AArch64 修补程序支持 glibc < 2.17

- 为 xalan/xerces 提供其自有内部程序包访问权限。

- 新功能

- JAXP、JAXWS 和 JAF 作为修补程序(而不是批次)提供,以便协助后续修补。

- PR1380:为 Zero 增加 AArch64 支持

- openjdk-7-src-b147-awt-crasher.patch (bnc#792951)

- 修复非 jit 程序包 的版本

解决方案

更新受影响的 java-1_6_0-openjdk 程序包。

另见

https://bugzilla.novell.com/show_bug.cgi?id=817157

https://lists.opensuse.org/opensuse-updates/2013-05/msg00017.html

插件详情

严重性: Critical

ID: 74991

文件名: openSUSE-2013-410.nasl

版本: 1.6

类型: local

代理: unix

发布时间: 2014/6/13

最近更新时间: 2021/1/19

依存关系: ssh_get_info.nasl

风险信息

风险因素: Critical

VPR 得分: 9.5

CVSS v2.0

基本分数: 10

时间分数: 8.7

矢量: AV:N/AC:L/Au:N/C:C/I:C/A:C

时间矢量: E:H/RL:OF/RC:C

漏洞信息

CPE: p-cpe:/a:novell:opensuse:java-1_6_0-openjdk, p-cpe:/a:novell:opensuse:java-1_6_0-openjdk-debuginfo, p-cpe:/a:novell:opensuse:java-1_6_0-openjdk-debugsource, p-cpe:/a:novell:opensuse:java-1_6_0-openjdk-demo, p-cpe:/a:novell:opensuse:java-1_6_0-openjdk-demo-debuginfo, p-cpe:/a:novell:opensuse:java-1_6_0-openjdk-devel, p-cpe:/a:novell:opensuse:java-1_6_0-openjdk-devel-debuginfo, p-cpe:/a:novell:opensuse:java-1_6_0-openjdk-javadoc, p-cpe:/a:novell:opensuse:java-1_6_0-openjdk-src, cpe:/o:novell:opensuse:12.1

必需的 KB 项: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

可利用: true

易利用性: Exploits are available

补丁发布日期: 2013/4/30

可利用的方式

Core Impact

Metasploit (Java Applet Driver Manager Privileged toString() Remote Code Execution)

参考资料信息

CVE: CVE-2013-0401, CVE-2013-1488, CVE-2013-1518, CVE-2013-1537, CVE-2013-1557, CVE-2013-1569, CVE-2013-2383, CVE-2013-2384, CVE-2013-2415, CVE-2013-2417, CVE-2013-2419, CVE-2013-2420, CVE-2013-2421, CVE-2013-2422, CVE-2013-2424, CVE-2013-2426, CVE-2013-2429, CVE-2013-2430, CVE-2013-2431