openSUSE 安全更新:java-1_7_0-openjdk (openSUSE-SU-2014:0174-1)
critical Nessus 插件 ID 75413
语言:
简介
远程 openSUSE 主机缺少安全更新。描述
- 修复了 -devel 和 -headless 程序包之间的文件冲突- 更新到 2.4.4 (bnc#858818)
- 从 xz 更改为 gzip 格式的 tarball,因为前者在更新期间不可用
- 由于发布管理员更改而造成 keyring 文件更改,新文件的签署人为来自 [email protected] 的 66484681,请参阅 http://mail.openjdk.java.net/pipermail/distro-pkg-dev/2014-January/025800.html
- 安全补丁
- S6727821:增强 JAAS 配置
- S7068126、CVE-2014-0373:增强 SNMP 状态
- S8010935:优化 XML 处理
- S8011786、CVE-2014-0368:优化小程序网络
- S8021257、S8025022、CVE-2013-5896:com.sun.corba.se.** 应位于受限程序包列表上
- S8021271、S8021266、CVE-2014-0408:优化 ObjC 代码中的缓冲
- S8022904:增强 JDBC 解析器
- S8022927:字节/端字节序转换的输入验证
- S8022935:增强 Apache 解析器类
- S8022945:增强 JNDI 实现类
- S8023057:增强启动图像显示
- S8023069、CVE-2014-0411:增强 TLS 连接
- S8023245、CVE-2014-0423:增强 Beans 解码
- S8023301:增强泛型类
- S8023338:更新 jarsigner 以激励加盖时间戳
- S8023672:增强 jar 文件验证
- S8024302:详尽说明 jar 验证
- S8024306,CVE-2014-0416:增强主题一致性
- S8024530:增强字体处理恢复能力
- S8024867:增强日志记录启动
- S8025014:增强安全策略
- S8025018、CVE-2014-0376:增强 JAX-P 设置
- S8025026,CVE-2013-5878:增强规范化
- S8025034,CVE-2013-5907:改进布局查找
- S8025448:增强监听事件
- S8025758,CVE-2014-0422:增强命名管理
- S8025767、CVE-2014-0428:增强 IIOP 流
- S8026172:增强 UI 管理
- S8026176:增强文档打印
- S8026193、CVE-2013-5884:增强 CORBA 存根工厂
- S8026204:增强认证登录上下文
- S8026417,CVE-2013-5910:增强 XML 规范化
- S8026502:java/lang/invoke/MethodHandleConstants.java 在所有平台上均失败
- S8027201、CVE-2014-0376:增强 JAX-P 设置
- S8029507、CVE-2013-5893:增强 JVM 方法处理
- S8029533:REGRESSION:closed/java/lang/invoke/8008140/Test8008140.java 无法
- 向后移植
- S8025255:(tz) 支持 tzdata2013g
- S8026826:针对 8010935 的 JDK 7 修复导致版本损坏
- 缺陷补丁
- PR1618:在 vm.make 中包含了 defs.make,以确保在 Zero 版本上定义 VM_LITTLE_ENDIAN
- D729448:mips 和 mipsel 上的 32 位对齐
- PR1623:使用 OpenJDK 6 启动时 OpenJDK 6 和 7 类之间发生冲突
添加 update.py 帮助程序脚本,以便从 hg repo 下载 openjdk tarball
- 由于是无条件使用 Buildrequire,因此可无条件退出。
- 真正地在非 JIT 架构上禁用测试。(提供者为 Ulrich Weigand)
- 添加不需要 X 和 pulse/alsa 的无头子程序包
- 向需要新 java-atk-wrapper 程序包的额外子程序包添加可访问性
- 删除了 java-1.7.0-openjdk-java-access-bridge-idlj.patch
- 删除了 java-1.7.0-openjdk-java-access-bridge-tck.patch
- 删除了 java-access-bridge-1.26.2.tar.bz2
- 刷新了
- java-1.7.0-openjdk-java-access-bridge-security.patch
- 添加对使用 --with tests 运行测试的支持
- 在非 jit 架构上忽略此项
- 优先使用 global 而非 define,因为 bcond_with 确实会用到
- 转发 declare aarch64 arch 宏
- 定义 arm 和 aarch64 的 archbuild/archinstall 宏
- 使用文件列表中的宏删除一些 ifarch 条件
- 在启动模式中需要 ecj-bootstrap(由 mmatz 注释)
- 不要在启动模式下安装 vim 和 quilt
- 对启动模式进行了几项增强
- 可用的 wia --with bootstrap
- 禁用 docs、javadoc 程序包
- 修复启动时的配置参数
- 向 -devel 程序包的文件列表中添加未版本化的 SDK 目录链接(修复来自 %post 的 update-alternatives)。
- 添加对仅使用 gcj 进行启动的支持(直接使用包含的 ecj)。增加 powerpc 的堆栈大小(修正 java-1.7.0-openjdk-ppc-zero-jdk.patch)。添加对 ppc64le 的支持。
- 修复 powerpc 的堆栈溢出(java-1_7_0-openjdk-ppc-stackoverflow.patch)
解决方案
更新受影响的 java-1_7_0-openjdk 程序包。另见
http://www.nessus.org/u?3c8576e2
https://bugzilla.novell.com/show_bug.cgi?id=858818
https://lists.opensuse.org/opensuse-updates/2014-01/msg00105.html
https://lists.opensuse.org/opensuse-updates/2014-01/msg00107.html
插件详情
严重性: Critical
ID: 75413
文件名: openSUSE-2014-95.nasl
版本: 1.5
类型: local
代理: unix
发布时间: 2014/6/13
最近更新时间: 2021/1/19
支持的传感器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.5
CVSS v2
风险因素: Critical
基本分数: 10
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
漏洞信息
CPE: p-cpe:/a:novell:opensuse:java-1_7_0-openjdk, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-accessibility, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-debugsource, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-demo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-demo-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-devel, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-devel-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-headless, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-headless-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-javadoc, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-src, cpe:/o:novell:opensuse:13.1
必需的 KB 项: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu
补丁发布日期: 2014/1/22
参考资料信息
CVE: CVE-2013-5878, CVE-2013-5884, CVE-2013-5893, CVE-2013-5896, CVE-2013-5907, CVE-2013-5910, CVE-2014-0368, CVE-2014-0373, CVE-2014-0376, CVE-2014-0408, CVE-2014-0411, CVE-2014-0416, CVE-2014-0422, CVE-2014-0423, CVE-2014-0428