Debian DLA-410-1:openjdk-6 安全更新 (SLOTH)
high Nessus 插件 ID 88580
语言:
简介
远程 Debian 主机缺少安全更新。描述
已在 OpenJDK(Oracle Java 平台的实现)中发现多个漏洞,其导致 Java 沙盒中断、信息泄露、拒绝服务和不安全的加密。CVE-2015-7575 发现 TLS 1.2 于 TLS 握手时使用 MD5 哈希函数对 ServerKeyExchange 和客户端认证数据包进行签名的方式中存在缺陷。
CVE-2015-8126 在低于 1.0.64 的 libpng,低于 1.2.54 的 libpng 1.1.x 和 1.2.x,低于 1.4.17 的 libpng 1.3.x 和 1.4.x,低于 1.5.24 的 libpng 1.5.x,以及低于 1.6.19 的 libpng 1.6.x 中,(1) png_set_PLTE 和 (2) png_get_PLTE 函数中存在多种缓冲区溢出,允许远程攻击者通过 PNG 图像中的 IHDR(又称图像标头)区块中的小位深度值造成拒绝服务(应用程序崩溃),或者可能造成其他不明影响。
CVE-2015-8472 在低于 1.0.65 的 libpng、libpng 1.1.x 和低于 1.2.55 的 libpng 1.2.x、libpng 1.3.x 和低于 1.4.18 的 libpng 1.4.x、低于 1.5.25 的 libpng 1.5.x 和低于 1.6.20 的 libpng 1.6.x 中,png_set_PLTE 函数中存在缓冲区溢出,允许远程攻击者通过 PNG 图像中 IHDR(也称为图像标头)区块中的小位深度值造成拒绝服务(应用程序崩溃)或可能造成其他不明影响。注意:存在此漏洞的原因是对 CVE-2015-8126 的修复不完整。
CVE-2016-0402 Oracle Java SE 6u105、7u91 与 8u66 及 Java SE Embedded 8u65 中 Java SE 与 Java SE Embedded 组件中的不明漏洞允许远程攻击者通过与 Networking 相关的不明矢量图像完整性。
CVE-2016-0448 Oracle Java SE 6u105、7u91 与 8u66 及 Java SE Embedded 8u65 中 Java SE 与 Java SE Embedded 组件中的不明漏洞允许经认证的远程用户通过与 JMX 相关的矢量影响机密性。
CVE-2016-0466 已发现 OpenJDK 的 JAXP 组件未正确强制实施 totalEntitySizeLimit 限制。可以使 Java 应用程序处理特别构建的 XML 文件的攻击者,可利用此缺陷来使应用程序消耗过量内存。
CVE-2016-0483 Oracle Java SE 6u105、7u91 与 8u66 中的 Java SE、Java SE Embedded 与 JRockit 组件;Java SE Embedded 8u65 与 JRockit R28.3.8 中的不明漏洞允许远程攻击者通过与 AWT 相关的矢量影响机密性、完整性与可用性。
CVE-2016-0494 Oracle Java SE 6u105、7u91 与 8u66 及 Java SE Embedded 8u65 中的 Java SE 与 Java SE Embedded 组件中的不明漏洞允许远程攻击者通过与 2D 相关的不明矢量影响机密性、完整性与可用性。
对于 Debian 6“Squeeze”,已在版本 6b38-1.13.10-1~deb6u1 中修复这些问题。
我们建议您升级 openjdk-6 程序包。
注意:Tenable Network Security 已直接从 DLA 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。
解决方案
升级受影响的程序包。另见
https://lists.debian.org/debian-lts-announce/2016/02/msg00001.html
插件详情
严重性: High
ID: 88580
文件名: debian_DLA-410.nasl
版本: 2.12
类型: local
代理: unix
发布时间: 2016/2/5
最近更新时间: 2021/1/11
支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.0
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 7.4
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS v3
风险因素: High
基本分数: 7.3
时间分数: 6.4
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: p-cpe:/a:debian:debian_linux:icedtea-6-jre-cacao, p-cpe:/a:debian:debian_linux:openjdk-6-dbg, p-cpe:/a:debian:debian_linux:openjdk-6-demo, p-cpe:/a:debian:debian_linux:openjdk-6-doc, p-cpe:/a:debian:debian_linux:openjdk-6-jdk, p-cpe:/a:debian:debian_linux:openjdk-6-jre, p-cpe:/a:debian:debian_linux:openjdk-6-jre-headless, p-cpe:/a:debian:debian_linux:openjdk-6-jre-lib, p-cpe:/a:debian:debian_linux:openjdk-6-jre-zero, p-cpe:/a:debian:debian_linux:openjdk-6-source, cpe:/o:debian:debian_linux:6.0
必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
易利用性: No known exploits are available
补丁发布日期: 2016/2/4
漏洞发布日期: 2015/11/12
参考资料信息
CVE: CVE-2015-7575, CVE-2015-8126, CVE-2015-8472, CVE-2016-0402, CVE-2016-0448, CVE-2016-0466, CVE-2016-0483, CVE-2016-0494