检测

openSUSE 安全更新:java-1_8_0-openjdk (openSUSE-2016-106) (SLOTH)

high Nessus 插件 ID 88537

语言:

简介

远程 openSUSE 主机缺少安全更新。

描述

java-1_8_0-openjdk 已更新到版本 7u95,修复了多个安全问题。(bsc#962743)

修复了以下漏洞:

- CVE-2015-7575:进一步减少使用 MD5 (SLOTH) (bsc#960996)

- CVE-2015-8126:AWT 组件中与初始屏幕显示相关的漏洞

- CVE-2015-8472:AWT 组件中的漏洞,已通过相同补丁解决

- CVE-2016-0402:Networking 组件中与 URL 处理相关的漏洞

- CVE-2016-0448:JMX 组件中与属性处理相关的漏洞

- CVE-2016-0466:JAXP 组件中与限制相关的漏洞

- CVE-2016-0483:AWT 组件中与图像解码相关的漏洞

- CVE-2016-0494:2D 组件中与字体操作相关的漏洞

包含来自 2015 年 10 月更新的下列补丁:
(bsc#951376)

- CVE-2015-4734:远程用户可利用嵌入 JGSS 组件中的一个缺陷访问部分数据

- CVE-2015-4803:远程用户可利用 JRockit JAXP 组件中的一个缺陷造成部分拒绝服务情况

- CVE-2015-4805:远程用户可利用嵌入序列化组件中的一个缺陷获取提升的权限

- CVE-2015-4806:远程用户可利用 Java SE 嵌入库组件中的一个缺陷访问和修改部分数据

- CVE-2015-4835:远程用户可利用嵌入 CORBA 组件中的一个缺陷获取提升的权限

- CVE-2015-4842:远程用户可利用嵌入 JAXP 组件中的一个缺陷访问部分数据

- CVE-2015-4843:远程用户可利用 Java SE 嵌入库组件中的一个缺陷获取提升的权限

- CVE-2015-4844:远程用户可利用嵌入 2D 组件中的一个缺陷获取提升的权限

- CVE-2015-4860:远程用户可利用嵌入 RMI 组件中的一个缺陷获取提升的权限

- CVE-2015-4872:远程用户可利用 JRockit Security 组件中的一个缺陷修改部分数据 []。

- CVE-2015-4881:远程用户可利用嵌入 CORBA 组件中的一个缺陷获取提升的权限

- CVE-2015-4882:远程用户可利用嵌入 CORBA 组件中的一个缺陷造成部分拒绝服务情况

- CVE-2015-4883:远程用户可利用嵌入 RMI 组件中的一个缺陷获取提升的权限

- CVE-2015-4893:远程用户可利用 JRockit JAXP 组件中的一个缺陷造成部分拒绝服务情况

- CVE-2015-4902:远程用户可利用 Java SE Deployment 组件中的一个缺陷修改部分数据

- CVE-2015-4903:远程用户可利用嵌入 RMI 组件中的一个缺陷访问部分数据

- CVE-2015-4911:远程用户可利用 JRockit JAXP 组件中的一个缺陷造成部分拒绝服务情况

- CVE-2015-4810:本地用户可利用 Java SE Deployment 组件中的一个缺陷获取提升的权限

- CVE-2015-4840:远程用户可利用嵌入 2D 组件中的一个缺陷访问部分数据

- CVE-2015-4868:远程用户可利用 Java SE 嵌入库组件中的一个缺陷获取提升的权限

- CVE-2015-4901:远程用户可利用 JavaFX 组件中的一个缺陷获取提升的权限

- CVE-2015-4906:远程用户可利用 JavaFX 组件中的一个缺陷访问部分数据

- CVE-2015-4908:远程用户可利用 JavaFX 组件中的一个缺陷访问部分数据

- CVE-2015-4916:远程用户可利用 JavaFX 组件中的一个缺陷访问部分数据

解决方案

更新受影响的 java-1_8_0-openjdk 程序包。

另见

https://bugzilla.opensuse.org/show_bug.cgi?id=951376

https://bugzilla.opensuse.org/show_bug.cgi?id=960996

https://bugzilla.opensuse.org/show_bug.cgi?id=962743

插件详情

严重性: High

ID: 88537

文件名: openSUSE-2016-106.nasl

版本: 2.8

类型: local

代理: unix

发布时间: 2016/2/3

最近更新时间: 2022/3/8

支持的传感器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.5

CVSS v2

风险因素: Critical

基本分数: 10

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS v3

风险因素: High

基本分数: 7.3

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

漏洞信息

CPE: p-cpe:/a:novell:opensuse:java-1_8_0-openjdk, p-cpe:/a:novell:opensuse:java-1_8_0-openjdk-accessibility, p-cpe:/a:novell:opensuse:java-1_8_0-openjdk-debuginfo, p-cpe:/a:novell:opensuse:java-1_8_0-openjdk-debugsource, p-cpe:/a:novell:opensuse:java-1_8_0-openjdk-demo, p-cpe:/a:novell:opensuse:java-1_8_0-openjdk-demo-debuginfo, p-cpe:/a:novell:opensuse:java-1_8_0-openjdk-devel, p-cpe:/a:novell:opensuse:java-1_8_0-openjdk-headless, p-cpe:/a:novell:opensuse:java-1_8_0-openjdk-headless-debuginfo, p-cpe:/a:novell:opensuse:java-1_8_0-openjdk-javadoc, p-cpe:/a:novell:opensuse:java-1_8_0-openjdk-src, cpe:/o:novell:opensuse:42.1

必需的 KB 项: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

补丁发布日期: 2016/1/27

CISA 已知可遭利用的漏洞到期日期: 2022/3/24

参考资料信息

CVE: CVE-2015-4734, CVE-2015-4803, CVE-2015-4805, CVE-2015-4806, CVE-2015-4810, CVE-2015-4835, CVE-2015-4840, CVE-2015-4842, CVE-2015-4843, CVE-2015-4844, CVE-2015-4860, CVE-2015-4868, CVE-2015-4872, CVE-2015-4881, CVE-2015-4882, CVE-2015-4883, CVE-2015-4893, CVE-2015-4901, CVE-2015-4902, CVE-2015-4903, CVE-2015-4906, CVE-2015-4908, CVE-2015-4911, CVE-2015-4916, CVE-2015-7575, CVE-2015-8126, CVE-2015-8472, CVE-2016-0402, CVE-2016-0448, CVE-2016-0466, CVE-2016-0483, CVE-2016-0494