openSUSE 安全更新:Java7 (openSUSE-2016-110) (SLOTH)

high Nessus 插件 ID 88540

简介

远程 openSUSE 主机缺少安全更新。

描述

OpenJDK 7u95 / IcedTea 2.6.4 的更新,包含下列补丁:

- 安全补丁

- S8059054、CVE-2016-0402:改进 URL 处理

- S8130710、CVE-2016-0448:改进属性处理

- S8132210:加强 JMX 回收器内部

- S8132988:改进打印对话框

- S8133962、CVE-2016-0466:更多一般限制

- S8137060:改进 JMX 内存管理

- S8139012:改进字体替换

- S8139017、CVE-2016-0483:图像解码更稳定

- S8140543、CVE-2016-0494:安排字体操作

- S8143185:处理代理的清理

- S8143941、CVE-2015-8126、CVE-2015-8472:更新初始屏幕显示

- S8144773、CVE-2015-7575:进一步减少使用 MD5 (SLOTH)

- S8142882、CVE-2015-4871:若重新绑定 DirectMethodHandle 的接收器,可能会允许访问受保护的方法

- OpenJDK 7 u95 build 0 的导入

- S7167988:若指定多个信任定位标记,反向模式下的 PKIX CertPathBuilder 便无法工作

- S8068761:[TEST_BUG] java/nio/channels/ServerSocketChannel/AdaptServerSocket。
java 因 SocketTimeoutException 而失败

- S8074068:src/share/classes/sun/security/x509/ 中的清理

- S8075773:修复 JDK-8050807 后,以 root 身份运行的 jps 失败

- S8081297:Tomcat 的 SSL 问题

- S8131181:增加适用于 7u95 的 HSx 次要版本并初始化版本号

- S8132082:使 OracleUcrypto 接受 RSAPrivateKey

- S8134605:重新执行部分 8081297 修复

- S8134861:XSLT:若命名空间 URI 包含部分程序包名称,Extension 函数调用会造成异常

- S8135307:如果缺少字段的类型,调用 FieldDoc.type 时会抛出 CompletionFailure

- S8138716:(tz) 支持 tzdata2015g

- S8140244:将 JDK-8075773 的补丁移植到 MacOSX

- S8141213:[Parfait] 可能阻断 GET_ARRAYS 函数的 jdk/src/share/native/sun/awt/image/jpeg/jpegdecoder.c 第 239 行 JNI 重要区域中调用的函数 GetArrayLength。

- S8141287:将 MD5 添加至 jdk.certpath.disabledAlgorithms - 第二步

- S8142928:[TEST_BUG] sun/security/provider/certpath/ReverseBuilder/ReverseBuild.java 8u71 失败

- S8143132:L10n 资源文件翻译更新

- S8144955:随 8143942 推送了错误的变更

- S8145551:针对改善的字体查找进行的测试因系统崩溃而失败

- S8147466:将 -fno-strict-overflow 添加至 IndicRearrangementProcessor{,2}.cpp

- 向后移植

- S8140244:将 JDK-8075773 的补丁移植到 AIX

- S8133196、PR2712、RH1251935:InetAddress 的 HTTPS 主机名无效问题

- S8140620、PR2710:查找并加载 default.sf2,作为 Linux 上的默认音库

解决方案

更新受影响的 Java7 程序包。

另见

https://bugzilla.opensuse.org/show_bug.cgi?id=939523

https://bugzilla.opensuse.org/show_bug.cgi?id=962743

插件详情

严重性: High

ID: 88540

文件名: openSUSE-2016-110.nasl

版本: 2.9

类型: local

代理: unix

发布时间: 2016/2/3

最近更新时间: 2021/1/19

支持的传感器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.0

CVSS v2

风险因素: Critical

基本分数: 10

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS v3

风险因素: High

基本分数: 7.3

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

漏洞信息

CPE: p-cpe:/a:novell:opensuse:java-1_7_0-openjdk, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-accessibility, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-debugsource, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-demo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-demo-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-devel, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-devel-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-headless, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-headless-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-javadoc, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-src, cpe:/o:novell:opensuse:13.1

必需的 KB 项: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

补丁发布日期: 2016/1/27

漏洞发布日期: 2015/10/21

参考资料信息

CVE: CVE-2015-4871, CVE-2015-7575, CVE-2015-8126, CVE-2015-8472, CVE-2016-0402, CVE-2016-0448, CVE-2016-0466, CVE-2016-0483, CVE-2016-0494