AIX Java 公告：java_feb2015_advisory.asc (POODLE)

critical Nessus 插件 ID 81491

语言：

简介

远程 AIX 主机安装的 Java SDK 版本受到多种漏洞的影响。

描述

远程主机上安装的 Java SDK 版本受到以下漏洞的影响：

- 称为 POODLE 的中间人 (MitM) 信息泄露漏洞。该漏洞是由于 SSL 3.0 解密使用密码块链接 (CBC) 模式中的块密码进行加密的消息时采用的处理填充字节的方式所引起。如果 MitM 攻击者能够强制受害的应用程序通过新创建的 SSL 3.0 连接不断发送同样的数据，就能将选中的加密文本字节在 256 次内解密。(CVE-2014-3566)

- 在 OpenJDK 的 2D 组件中的字体解析代码中存在信息泄露缺陷。特别构建的字体文件可利用边界检查缺陷并允许不受信任的 Java 小程序或应用程序泄露 Java 虚拟机内存的部分内容。
（CVE-2014-6585、CVE-2014-6591）

- 在 OpenJDK 的 Libraries 组件的 MulticastSocket 实现中存在一个空指针取消引用缺陷。不受信任的 Java 小程序或应用程序可利用此缺陷绕过某些 Java 沙盒限制。(CVE-2014-6587)

- OpenJDK 的 JSSE 组件中的 SSL/TLS 实现未能正确检查在 SSL/TLS 连接握手期间是否收到 ChangeCipherSpec。MitM 攻击者可利用此缺陷在未启用加密的情况下强制建立连接。(CVE-2014-6593)

- 在 IBM Java 虚拟机中存在一个不明权限升级漏洞。(CVE-2014-8891)

- 在 Oracle Java SE 的 Libraries 组件中存在一个不明信息泄露漏洞。
(CVE-2015-0400)

- 在 Oracle Java SE 的 Deployment 组件中存在一个不明信息泄露漏洞。
(CVE-2015-0403)

- 在 Oracle Java SE 的 Deployment 组件中存在不明拒绝服务和信息泄露漏洞。(CVE-2015-0406)

- 在 OpenJDK 的 Swing 组件中存在一个信息泄露漏洞。不受信任的 Java 小程序或应用程序可利用此缺陷绕过某些 Java 沙盒限制。(CVE-2015-0407)

在 OpenJDK 的 JAX-WS、Libraries 和 RMI 组件中存在多种不当权限检查漏洞。
不受信任的 Java 小程序或应用程序可利用这些缺陷绕过 Java 沙盒限制。
（CVE-2015-0412、CVE-2014-6549、CVE-2015-0408）

- 在 OpenJDK 的 Security 组件中的 DER（可辨别编码规则）解码器处理负长度值的方式中存在一个拒绝服务漏洞。特别构建的、以 DER 编码的输入可造成 Java 应用程序在解码时进入无限循环。(CVE-2015-0410)