openSUSE 安全更新:java-1_7_0-openjdk (openSUSE-2016-977)

critical Nessus 插件 ID 92978

简介

远程 openSUSE 主机缺少安全更新。

描述

此 java-1_7_0-openjdk 更新修复了以下问题:

- 2.6.7 版更新 - OpenJDK 7u111

- 安全补丁

- S8079718、CVE-2016-3458:IIOP 输入流挂钩 (bsc#989732)

- S8145446、CVE-2016-3485:完美的管道放置(仅限 Windows)(bsc#989734)

- S8147771:Javax 自定义策略下静态保护域的构建

- S8148872、CVE-2016-3500:全面的名称检查 (bsc#989730)

- S8149962、CVE-2016-3508:更好地描述 XML 处理 (bsc#989731)

- S8150752:共享类数据

- S8151925:改善字体参考

- S8152479、CVE-2016-3550:编码字节流 (bsc#989733)

- S8155981、CVE-2016-3606:强化字节码验证 (bsc#989722)

- S8155985、CVE-2016-3598:持续参数处理 (bsc#989723)

- S8158571、CVE-2016-3610:其他方法处理验证 (bsc#989725)

- CVE-2016-3511 (bsc#989727)

- CVE-2016-3503 (bsc#989728)

- CVE-2016-3498 (bsc#989729)

- OpenJDK 7 u111 build 0 的导入

- S6953295:将 keytool/jarsigner 使用的一些 sun.security.{util, x509, pkcs} 类移至其他程序包

- S7060849:消除 pack200 构建警告

- S7064075:安全库不使用 javac
-Xlint:all、-deprecation -Werror 构建

- S7069870:部分 JDK 错误地依赖菱形泛型数组初始化式

- S7102686:重构了时间戳代码,使 jar 和模块可以更轻松地共享相同的代码

- S7105780:将 SSLSocket 客户端/SSLEngine 服务器添加到模板目录

- S7142339:当时间戳未完成时,PKCS7.java 不需要创建 SHA1PRNG SecureRandom 实例

- S7152582:PKCS11 测试应使用操作系统中提供的 NSS 库

- S7192202:确保 keytool 打印不明且无法解析的扩展

- S7194449:密钥工具和策略工具的字符串资源应位于其各自的程序包中

- S7196855:autotest.sh 在 ubuntu 中执行失败,这是因为找不到 libsoftokn.so 所致

- S7200682:TEST_BUG:keytool/autotest.sh 仍有 libsoftokn.so 问题

- S8002306:(se) Selector.open 在线程中断状态设置为 [win] 的情况下调用会失败

- S8009636:JARSigner 包含 RFC3161 中所定义的 TimeStamp PolicyID (TSAPolicyID)

- S8019341:更新 CookieHttpsClientTest 以使用较新的框架。

- S8022228:sun/security/ssl/javax/net/ssl/NewAPIs 中的间歇性测试失败

- S8022439:修复 sun.security.ec 中的 lint 警告

- S8022594:sun.nio.ch.Util/IOUtil 的 <clinit> 中的潜在死锁

- S8023546:sun/security/mscapi/ShortRSAKey1024.sh 间歇性失败

- S8036612:[parfait] jdk/src/windows/native/sun/security/mscapi/security.cpp 中的 JNI 异常待定

- S8037557:测试 SessionCacheSizeTests.java 超时

- S8038837:添加对 jarsigner 的支持,用于指定时间戳哈希算法

- S8079410:热点版本共享相同的 JDK 更新和构建版本

- S8130735:javax.swing.TimerQueue:当其他定时器启动时,该定时器会触发延迟

- S8139436:sun.security.mscapi.KeyStore 可能加载不完整数据

- S8144313:测试 SessionTimeOutTests 可能超时

- S8146387:测试 SSLSession/SessionCacheSizeTests 套接字接受超时

- S8146669:测试 SessionTimeOutTests 间歇性失败

- S8146993:多个 javax/management/remote/mandatory 回归测试在 JDK-8138811 后失败

- S8147857:[TEST] RMIConnector 未正确记录属性名称

- S8151841、PR3098:版本需要其他标记才能用 GCC 6 进行编译

- S8151876:(tz) 支持 tzdata2016d

- S8157077:8u101 L10n 资源文件更新

- S8161262:修复 gcc 4.1.2 的 jdk 版本:
-fno-strict-overflow 未知。

- OpenJDK 7 u111 build 1 的导入

- S7081817:
test/sun/security/provider/certpath/X509CertPath/Illegal Certificates.java 失败

- S8140344:新增对 3 位数更新版本号的支持

- S8145017:新增对 3 位数 hotspot 次要版本号的支持

- S8162344:需要恢复 CR 7064075 进行的 API 变更

- 向后移植

- S2178143、PR2958:如果在运行时绑定的 CPU 数变更,JVM 会崩溃

- S4900206、PR3101:包括对数学库函数最坏情况的进位测试

- S6260348、PR3067:GTK+ L&F JTextComponent 不遵循桌面插入符号闪烁速率

- S6934604、PR3075:默认启用部分 EliminateAutoBox

- S7043064、PR3020:夜间对 RI b141 & b138 的 sun/java2d/cmm/ 测试失败

- S7051394、PR3020:使用 openjdk-7-b144 运行回归测试 LoadProfileTest 时 NullPointerException

- S7086015、PR3013:修复 test/tools/javac/parser/netbeans/JavacParserTest.java

- S7119487、PR3013:JavacParserTest.java 测试在 Windows 平台上执行失败

- S7124245、PR3020:[lcms] 色彩空间 CS_GRAY 的 ColorConvertOp 会明显地将橙色转换为 244,244,0

- S7159445、PR3013:(javac) 针对增强的 for-loops 发出不准确的诊断

- S7175845、PR1437、RH1207129:「jar uf」意外更改文件权限

- S8005402、PR3020:需要为颜色管理提供基准

- S8005530、PR3020:[lcms] 改善默认目标的 ColorConverOp 性能

- S8005930、PR3020:[lcms] ColorConvertOp:Alpha 通道无法从来源传输至目的地。

- S8013430、PR3020:REGRESSION:
closed/java/awt/color/ICC_Profile/LoadProfileTest/LoadPr ofileTest.java 因 java.io.StreamCorruptedException 失败:无效的类型代码:8b87 之后的 EE

- S8014286、PR3075:6934604 变更后 java/lang/Math/DivModTests.java 失败

- S8014959、PR3075:
assert(Compile::current()->live_nodes() < (uint)MaxNodeLimit) 失败:实时节点限制超出限制

- S8019247、PR3075:编译方法 c8e.e.t_.getArray(Ljava/lang/Class;) 中的 SIGSEGV [Ljava/lang/Object

- S8024511、PR3020:在颜色配置文件析构过程中崩溃

- S8025429、PR3020:[parfait] 来自 b107 针对 sun.java2d.cmm 的警告:JNI 异常待定

- S8026702、PR3020:8025429 的补丁损坏 windows 上的 jdk 版本

- S8026780、PR3020、RH1142587:Java_awt 测试套件的 PPC 和 PPC v2 崩溃

- S8047066、PR3020:测试 test/sun/awt/image/bug8038000.java 因 ClassCastException 失败

- S8069181、PR3012、RH1015612:在 JDK 8 中编译 JDK 1.4 代码时 java.lang.AssertionError

- S8158260、PR2992、RH1341258:PPC64:未对齐的 Unsafe.getInt 可导致产生非法指令 (bsc#988651)

- S8159244、PR3075:由 C2 字符串联优化创建的部分初始化字符串对象可能转义

- 缺陷补丁

- PR2799、RH1195203:resources.jar 中文件缺失

- PR2900:无法使用 NSS 函数的 WithSeed 版本,因其无法完整地处理种子

- PR3091:SystemTap 严重混淆多个 JDK

- PR3102:将 8022594 扩展至 AixPollPort

- PR3103:处理尚未创建 linux.fontconfig.Gentoo.properties.old 的 clean-fonts 中的情况

- PR3111:提供禁用 SystemTap 测试的选项

- PR3114:不假设系统 mime.types 支持 text/x-java-source

- PR3115:新增对椭圆曲线加密实现的检查

- PR3116:新增对 Java 调试信息和来源文件的测试

- PR3118:agpl-3.0.txt 的路径未更新

- PR3119:Makefile 将 cacerts 做为符号链接处理,但配置检查不会

- AArch64 端口

- S8148328、PR3100:aarch64:存根代码中多余的 lsr 指令。

- S8148783、PR3100:aarch64:运行 SpecJBB2013 的 SEGV

- S8148948、PR3100:aarch64:generate_copy_longs 错误调用 align()

- S8150045、PR3100:arraycopy 造成垃圾收集期间 SATB 中发生段错误

- S8154537、PR3100:AArch64:某些整数旋转指令永远不会发出

- S8154739、PR3100:AArch64:TemplateTable::fast_xaccess 在错误模式下加载

- S8157906、PR3100:aarch64:某些整数旋转指令永远不会发出

- 为 SLE12 和 Leap 启用 SunEC (bsc#982366)

- 修复以 48 位 va 空间运行的 aarch64 (bsc#984684)

此更新从 SUSE:SLE-12:Update 更新项目导入。

解决方案

更新受影响的 java-1_7_0-openjdk 程序包。

另见

https://bugzilla.opensuse.org/show_bug.cgi?id=989729

https://bugzilla.opensuse.org/show_bug.cgi?id=989730

https://bugzilla.opensuse.org/show_bug.cgi?id=989731

https://bugzilla.opensuse.org/show_bug.cgi?id=989732

https://bugzilla.opensuse.org/show_bug.cgi?id=989733

https://bugzilla.opensuse.org/show_bug.cgi?id=989734

https://bugzilla.opensuse.org/show_bug.cgi?id=982366

https://bugzilla.opensuse.org/show_bug.cgi?id=984684

https://bugzilla.opensuse.org/show_bug.cgi?id=988651

https://bugzilla.opensuse.org/show_bug.cgi?id=989722

https://bugzilla.opensuse.org/show_bug.cgi?id=989723

https://bugzilla.opensuse.org/show_bug.cgi?id=989725

https://bugzilla.opensuse.org/show_bug.cgi?id=989727

https://bugzilla.opensuse.org/show_bug.cgi?id=989728

插件详情

严重性: Critical

ID: 92978

文件名: openSUSE-2016-977.nasl

版本: 2.5

类型: local

代理: unix

发布时间: 2016/8/16

最近更新时间: 2021/1/19

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

风险信息

VPR

风险因素: High

分数: 7.3

CVSS v2

风险因素: High

基本分数: 9.3

矢量: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

CVSS v3

风险因素: Critical

基本分数: 9.6

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

漏洞信息

CPE: p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-headless-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-javadoc, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-src, cpe:/o:novell:opensuse:42.1, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-accessibility, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-bootstrap, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-bootstrap-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-bootstrap-debugsource, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-bootstrap-devel, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-bootstrap-devel-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-bootstrap-headless, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-bootstrap-headless-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-debugsource, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-demo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-demo-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-devel, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-devel-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-headless

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

补丁发布日期: 2016/8/11

漏洞发布日期: 2016/7/21

参考资料信息

CVE: CVE-2016-3458, CVE-2016-3485, CVE-2016-3498, CVE-2016-3500, CVE-2016-3503, CVE-2016-3508, CVE-2016-3511, CVE-2016-3550, CVE-2016-3598, CVE-2016-3606, CVE-2016-3610