openSUSE 安全更新:java-1_7_0-openjdk (openSUSE-SU-2013:1288-1)
critical Nessus 插件 ID 75101
语言:
简介
远程 openSUSE 主机缺少安全更新。描述
java-1_7_0-openjdk 已更新到 icedtea-2.4.1 (bnc#828665)。- 安全补丁
- S6741606、CVE-2013-2407:集成 Apache Santuario
- S7158805、CVE-2013-2445:优化重写嵌套子例程调用
- S7170730、CVE-2013-2451:改进 Windows 网络堆栈支持。
- S8000638、CVE-2013-2450:改进反序列化
- S8000642、CVE-2013-2446:优化传输对象的处理
- S8001032:限制对象访问
- S8001033、CVE-2013-2452:重构虚拟机标识符中的网络地址处理
- S8001034、CVE-2013-1500:内存管理改进
- S8001038、CVE-2013-2444:多元化处理资源
- S8001043:阐明定义限制
- S8001308:更新小程序窗口的显示
- S8001309:优化注释界面的处理
- S8001318、CVE-2013-2447:Socket.getLocalAddress 与 InetAddress.getLocalHost 不一致
- S8001330、CVE-2013-2443:改进检查顺序(仅限于非 Zero 版本)
- S8003703、CVE-2013-2412:更新 RMI 连接对话框
- S8004288、CVE-2013-2449:(fs) Files.probeContentType 问题
- S8004584:提高小程序上下文分析
- S8005007:优化字形处理
- S8006328、CVE-2013-2448:改进声音类的稳定性
- S8006611:改进脚本
- S8007467:改进 JMX 内部 API 的稳定性
- S8007471:改进 MBean 通知
- S8007812、CVE-2013-2455:(反映)一些类的 Class.getEnclosingMethod 存在问题
- S8007925:改进 cmsStageAllocLabV2ToV4curves
- S8007926:改进 cmsPipelineDup
- S8007927:改进 cmsAllocProfileSequenceDescription
- S8007929:改进 CurvesAlloc
- S8008120、CVE-2013-2457:改进 JMX 类检查
- S8008124、CVE-2013-2453:优化合规性测试
- S8008128:优化 JMX 的 API 一致性
- S8008132、CVE-2013-2456:优化序列化支持
- S8008585:优化 JMX 数据处理
- S8008593:优化 URLClassLoader 资源管理
- S8008603:改进 JMX 提供程序的配置
- S8008607:优化 JMX 中的输入检查
- S8008611:优化 JMX 中对注释的处理
- S8008615:改进 JMX 内部 API 的稳定性
- S8008623:优化对 MBeanServers 的处理
- S8008744、CVE-2013-2407:重新制作 JDK-6741606 的部分补丁
- S8008982:针对底层接口的更改调整 JMX
- S8009004:优化 RMI 连接的实现
- S8009008:优化管理 management-api
- S8009013:优化对 T2K glyphs 的处理
- S8009034:改进 JMX 中生成的通知
- S8009038:改进 JMX 通知支持
- S8009057、CVE-2013-2448:改进 MIDI 事件处理
- S8009067:改进 KeyStore 中的密钥存储
- S8009071、CVE-2013-2459:改进形状处理
- S8009235:改进对 TSA 数据的处理
- S8009424、CVE-2013-2458:根据 JSR-292 实现变更调整 Nashorn
- S8009554、CVE-2013-2454:改进 SerialJavaObject.getFields
- S8009654:改进 cmsnamed 的稳定性
- S8010209、CVE-2013-2460:优化出厂配置
- S8011243、CVE-2013-2470:改进 ImagingLib
- S8011248、CVE-2013-2471:优化组件光栅
- S8011253、CVE-2013-2472:优化短组件光栅
- S8011257、CVE-2013-2473:优化字节组件光栅
- S8012375、CVE-2013-1571:改进 Javadoc 帧
- S8012421:优化 PairPositioning 的放置
- S8012438、CVE-2013-2463:优化图像验证
- S8012597、CVE-2013-2465:优化图像通道校验
- S8012601、CVE-2013-2469:优化图像布局验证
- S8014281、CVE-2013-2461:优化 XML 签名校验
- S8015997:进一步改进 Javadoc 框架
- OpenJDK
- 列表太长,请参阅 NEWS 文件
- java-1.7.0-openjdk-zero-arch.patch:修复 zero arch 的检测
- 构建期间忽略 rhino 依存关系以阻止构建周期
- 更新到 icedtea-2.4.0(基于 oracle jdk7u40)
- OpenJDK(完整列表请参阅 NEWS)
- PR1209,S7170638:在 JNI Set 和 SetStatic Field 中使用 DTRACE_PROBE[N]。
- PR1206, S7201205:在 OpenJDK 中添加 Makefile 配置选项以使用不受限制的加密进行构建
- 向后移植
- PR1197,S8003120,RH868136:
ResourceManager.getApplicationResources() 不关闭 InputStreams
- S8014618,RH962568:需要剥离 DHKeyAgreement 的 TlsPremasterSecret 中的前导零
- 缺陷补丁
- PR1212:不能构建 IcedTea7,因为 Resources.getText() 不再可用于代码
- 向其他平台添加 NSS(注释掉)。
- 允许多个 PKCS11 库初始化成为非危急错误。
- 完成从本地 zlib 修补程序到上游版本的切换。
- 在 buildtree.make 中包含 defs.make,以便识别 ZERO_BUILD 和设置 JVM_VARIANT_ZERO。
- 提供对 PKCS11 提供程序与 NSS 配合使用的支持
- 删除在 Zero 的上游中明确删除了的文件。
- 恢复 7060849
- 设置 UNLIMITED_CRYPTO=true 以确保使用不受限制的策略。
- PR473:将 nss.cfg 中的 Set handleStartupErrors 设置为 ignoreMultipleInitialisation
- PR716:IcedTea7 应使用 IcedTea6 启动
- 扩展 java.security.cert.* 导入以避免使用 OpenJDK 6 进行构建时发生冲突
- 修复设置了 STRIP_POLICY=no_strip 时 Makefile 块上不执行的缩进
- 修复了 JEP 167 中引入的无效 XSL 样式表和 DTD。
- 在 buildtree.make 中包含 defs.make,以便识别 ZERO_BUILD 和设置 JVM_VARIANT_ZERO。
- 确保使用 libffi cflags 和 libs。
- PR1378:为 Zero 增加 AArch64 支持
- PR1170:确保应用不受限制的加密策略。
- RH513605、PR1280:更新/安装 OpenJDK 应重新创建共享的类数据存档
- PR1358:将 XRender 设置为必需项
- PR1360:检查 /usr/lib64 JVM 和通用 JPackage 备用项
- PR1435、D657854:OpenJDK 7 返回错误的 TrueType 字体度量
- PR728:GTKLookAndFeel 不遵循 gtk-alternative-button-order
- JamVM
- JSR 335:(lambda 表达式)初始 hack
- JEP 171:实现 sun.misc.Unsafe 中的屏蔽方法
- 修复 invokespecial opcode 中的 invokesuper 检查
- 修复间接解释器 invokespecial super-class 检查
- 对本机方法执行垃圾回收时,不尝试释放代码
- 不释放未准备的 Miranda 方法代码数据
- 设置匿名类保护域
- JVM_IsVMGeneratedMethodIx 存根
- 虚拟的 sun.misc.Perf 本机实现
- Zero 不再需要单独的 vm
- 终止 java-1.7.0-openjdk-aarch64.patch(上游:PR1378)
- 修复 bnc#781690c#11 - 设置 posttrans 中的 JAVA_HOME,以便此 JVM 创建证书
- 修复 postrans 情况(添加缺少的前缀)
- 放宽构建要求,以便每个 java-devel >= 1.7.0 都可以匹配
解决方案
更新受影响的 java-1_7_0-openjdk 程序包。另见
https://bugzilla.novell.com/show_bug.cgi?id=781690
https://bugzilla.novell.com/show_bug.cgi?id=828665
https://lists.opensuse.org/opensuse-updates/2013-08/msg00001.html
插件详情
严重性: Critical
ID: 75101
文件名: openSUSE-2013-622.nasl
版本: 1.5
类型: local
代理: unix
发布时间: 2014/6/13
最近更新时间: 2022/3/29
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
风险信息
VPR
风险因素: Critical
分数: 9.8
CVSS v2
风险因素: Critical
基本分数: 10
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
漏洞信息
CPE: p-cpe:/a:novell:opensuse:java-1_7_0-openjdk, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-debugsource, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-demo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-demo-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-devel, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-devel-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-javadoc, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-src, cpe:/o:novell:opensuse:12.2, cpe:/o:novell:opensuse:12.3
必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
可利用: true
易利用性: Exploits are available
补丁发布日期: 2013/7/24
CISA 已知可遭利用的漏洞到期日期: 2022/4/18
可利用的方式
Core Impact
Metasploit (Java storeImageArray() Invalid Array Indexing Vulnerability)
参考资料信息
CVE: CVE-2013-1500, CVE-2013-1571, CVE-2013-2407, CVE-2013-2412, CVE-2013-2443, CVE-2013-2444, CVE-2013-2445, CVE-2013-2446, CVE-2013-2447, CVE-2013-2448, CVE-2013-2449, CVE-2013-2450, CVE-2013-2451, CVE-2013-2452, CVE-2013-2453, CVE-2013-2454, CVE-2013-2455, CVE-2013-2456, CVE-2013-2457, CVE-2013-2458, CVE-2013-2459, CVE-2013-2460, CVE-2013-2461, CVE-2013-2463, CVE-2013-2465, CVE-2013-2469, CVE-2013-2470, CVE-2013-2471, CVE-2013-2472, CVE-2013-2473