openSUSE 安全更新:java-1_7_0-openjdk (openSUSE-SU-2014:0174-1)

critical Nessus 插件 ID 75413

简介

远程 openSUSE 主机缺少安全更新。

描述

- 修复了 -devel 和 -headless 程序包之间的文件冲突

- 更新到 2.4.4 (bnc#858818)

- 从 xz 更改为 gzip 格式的 tarball,因为前者在更新期间不可用

- 由于发布管理员更改而造成 keyring 文件更改,新文件的签署人为来自 [email protected] 的 66484681,请参阅 http://mail.openjdk.java.net/pipermail/distro-pkg-dev/2014-January/025800.html

- 安全补丁

- S6727821:增强 JAAS 配置

- S7068126、CVE-2014-0373:增强 SNMP 状态

- S8010935:优化 XML 处理

- S8011786、CVE-2014-0368:优化小程序网络

- S8021257、S8025022、CVE-2013-5896:com.sun.corba.se.** 应位于受限程序包列表上

- S8021271、S8021266、CVE-2014-0408:优化 ObjC 代码中的缓冲

- S8022904:增强 JDBC 解析器

- S8022927:字节/端字节序转换的输入验证

- S8022935:增强 Apache 解析器类

- S8022945:增强 JNDI 实现类

- S8023057:增强启动图像显示

- S8023069、CVE-2014-0411:增强 TLS 连接

- S8023245、CVE-2014-0423:增强 Beans 解码

- S8023301:增强泛型类

- S8023338:更新 jarsigner 以激励加盖时间戳

- S8023672:增强 jar 文件验证

- S8024302:详尽说明 jar 验证

- S8024306,CVE-2014-0416:增强主题一致性

- S8024530:增强字体处理恢复能力

- S8024867:增强日志记录启动

- S8025014:增强安全策略

- S8025018、CVE-2014-0376:增强 JAX-P 设置

- S8025026,CVE-2013-5878:增强规范化

- S8025034,CVE-2013-5907:改进布局查找

- S8025448:增强监听事件

- S8025758,CVE-2014-0422:增强命名管理

- S8025767、CVE-2014-0428:增强 IIOP 流

- S8026172:增强 UI 管理

- S8026176:增强文档打印

- S8026193、CVE-2013-5884:增强 CORBA 存根工厂

- S8026204:增强认证登录上下文

- S8026417,CVE-2013-5910:增强 XML 规范化

- S8026502:java/lang/invoke/MethodHandleConstants.java 在所有平台上均失败

- S8027201、CVE-2014-0376:增强 JAX-P 设置

- S8029507、CVE-2013-5893:增强 JVM 方法处理

- S8029533:REGRESSION:closed/java/lang/invoke/8008140/Test8008140.java 无法

- 向后移植

- S8025255:(tz) 支持 tzdata2013g

- S8026826:针对 8010935 的 JDK 7 修复导致版本损坏

- 缺陷补丁

- PR1618:在 vm.make 中包含了 defs.make,以确保在 Zero 版本上定义 VM_LITTLE_ENDIAN

- D729448:mips 和 mipsel 上的 32 位对齐

- PR1623:使用 OpenJDK 6 启动时 OpenJDK 6 和 7 类之间发生冲突

添加 update.py 帮助程序脚本,以便从 hg repo 下载 openjdk tarball

- 由于是无条件使用 Buildrequire,因此可无条件退出。

- 真正地在非 JIT 架构上禁用测试。(提供者为 Ulrich Weigand)

- 添加不需要 X 和 pulse/alsa 的无头子程序包

- 向需要新 java-atk-wrapper 程序包的额外子程序包添加可访问性

- 删除了 java-1.7.0-openjdk-java-access-bridge-idlj.patch

- 删除了 java-1.7.0-openjdk-java-access-bridge-tck.patch

- 删除了 java-access-bridge-1.26.2.tar.bz2

- 刷新了

- java-1.7.0-openjdk-java-access-bridge-security.patch

- 添加对使用 --with tests 运行测试的支持

- 在非 jit 架构上忽略此项

- 优先使用 global 而非 define,因为 bcond_with 确实会用到

- 转发 declare aarch64 arch 宏

- 定义 arm 和 aarch64 的 archbuild/archinstall 宏

- 使用文件列表中的宏删除一些 ifarch 条件

- 在启动模式中需要 ecj-bootstrap(由 mmatz 注释)

- 不要在启动模式下安装 vim 和 quilt

- 对启动模式进行了几项增强

- 可用的 wia --with bootstrap

- 禁用 docs、javadoc 程序包

- 修复启动时的配置参数

- 向 -devel 程序包的文件列表中添加未版本化的 SDK 目录链接(修复来自 %post 的 update-alternatives)。

- 添加对仅使用 gcj 进行启动的支持(直接使用包含的 ecj)。增加 powerpc 的堆栈大小(修正 java-1.7.0-openjdk-ppc-zero-jdk.patch)。添加对 ppc64le 的支持。

- 修复 powerpc 的堆栈溢出(java-1_7_0-openjdk-ppc-stackoverflow.patch)

解决方案

更新受影响的 java-1_7_0-openjdk 程序包。

另见

http://www.nessus.org/u?3c8576e2

https://bugzilla.novell.com/show_bug.cgi?id=858818

https://lists.opensuse.org/opensuse-updates/2014-01/msg00105.html

https://lists.opensuse.org/opensuse-updates/2014-01/msg00107.html

插件详情

严重性: Critical

ID: 75413

文件名: openSUSE-2014-95.nasl

版本: 1.5

类型: local

代理: unix

发布时间: 2014/6/13

最近更新时间: 2021/1/19

支持的传感器: Nessus Agent

风险信息

VPR

风险因素: Medium

分数: 6.5

CVSS v2

风险因素: Critical

基本分数: 10

矢量: AV:N/AC:L/Au:N/C:C/I:C/A:C

漏洞信息

CPE: p-cpe:/a:novell:opensuse:java-1_7_0-openjdk, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-accessibility, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-debugsource, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-demo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-demo-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-devel, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-devel-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-headless, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-headless-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-javadoc, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-src, cpe:/o:novell:opensuse:13.1

必需的 KB 项: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

补丁发布日期: 2014/1/22

参考资料信息

CVE: CVE-2013-5878, CVE-2013-5884, CVE-2013-5893, CVE-2013-5896, CVE-2013-5907, CVE-2013-5910, CVE-2014-0368, CVE-2014-0373, CVE-2014-0376, CVE-2014-0408, CVE-2014-0411, CVE-2014-0416, CVE-2014-0422, CVE-2014-0423, CVE-2014-0428