RHEL 6 : eclipse (RHSA-2011:0568)
medium Nessus 插件 ID 54595
语言:
简介
远程 Red Hat 主机缺少安全更新。描述
远程 Redhat Enterprise Linux 6 主机上安装的程序包受到 RHSA-2011:0568 公告中提及的漏洞影响。Eclipse 软件开发环境提供一组用于 C/C++ 和 Java 开发的工具。
在 Eclipse 帮助内容 Web 应用程序中发现跨站脚本 (XSS) 缺陷。攻击者可利用此缺陷诱骗受害者访问特别构建的 Eclipse 帮助 URL,针对他们进行跨站脚本攻击。(CVE-2010-4647)
以下 Eclipse 程序包已升级到官方上游 Eclipse Helios SR1 发行版中的版本,与以前的版本相比提供很多缺陷补丁和增强:
* eclipse 升级到 3.6.1。(BZ#656329)
* eclipse-cdt 升级到 7.0.1。(BZ#656333)
* eclipse-birt 升级到 2.6.0。(BZ#656391)
* eclipse-emf 升级到 2.6.0。(BZ#656344)
* eclipse-gef 升级到 3.6.1。(BZ#656347)
* eclipse-mylyn 升级到 3.4.2。(BZ#656337)
* eclipse-rse 升级到 3.2。(BZ#656338)
* eclipse-dtp 升级到 1.8.1。(BZ#656397)
* eclipse-changelog 升级到 2.7.0。(BZ#669499)
* eclipse-valgrind 升级到 0.6.1。(BZ#669460)
* eclipse-callgraph 升级到 0.6.1。(BZ#669462)
* eclipse-oprofile 升级到 0.6.1。(BZ#670228)
* eclipse-linuxprofilingframework 升级到 0.6.1。(BZ#669461)
此外,对上述 Eclipse 程序包的依存关系进行了以下更新:
* icu4j 升级到 4.2.1。(BZ#656342)
* sat4j 升级到 2.2.0。(BZ#661842)
* objectweb-asm 更新到 3.2。(BZ#664019)
* jetty-eclipse 升级到 6.1.24。(BZ#661845)
此更新包含大量上游缺陷补丁和增强,例如:
* Eclipse IDE 和 Java 开发工具 (JDT):
- 项目和文件夹可以过滤工作区中的资源。
- 支持新的虚拟文件夹和链接文件。
- 现在支持 UNIX 文件权限的完整集合。
- 添加了停止按钮,可取消运行时间很长的向导任务。
- 悬停在问题上时,Java 编辑器现在显示多个快速修复。
- 对运行 JUnit 版本 4 测试的全新支持。
- 200 多个上游缺陷补丁。
* Eclipse C/C++ Development Tooling (CDT):
- 添加了新的 Codan 框架用于静态代码分析。
- 重构改进,例如存储重构历史记录。
- 现在会在构建控制台中突出显示编译和构建错误。
- 切换到新的 DSF 调试程序框架。
- 新模板视图支持。
- 600 多个上游缺陷补丁。
此更新还修复以下缺陷:
* 修复了“Help Contents”窗口中用于 GNU 工具的错误 URI。(BZ#622713)
* 如果 Eclipse 项目不在 Eclipse 工作区中,则二进制文件的配置不起作用。此更新针对外部项目配置添加了自动测试,从而修正了此问题。(BZ#622867)
* Eclipse 中运行的 C/C++ 应用程序成功终止,但在 Error Log 窗口中返回了一个与应用程序本身不相关的 I/O 异常。通过此更新,不会再返回异常。
(BZ#668890)
* eclipse-mylyn 程序包显示 20100916-0100-e3x 限定符。限定符已被修改为 v20100902-0100-e3x 以匹配 eclipse-mylyn 的上游版本。(BZ#669819)
* 由于程序包中的一个缺陷,安装 eclipse-mylyn 程序包失败,并返回了 Resource temporarily unavailable 错误消息。此更新修复了此缺陷,并且安装现在可以正常工作。(BZ#673174)
* 构建 eclipse-cdt 程序包可能因与本地文件系统的错误交互而失败。与本地文件系统的交互现在将被阻止,并且构建不会再失败。(BZ#678364)
* eclipse-cdt 程序包提供的 libhover 插件使用二进制数据搜索悬停主题。数据位置是在外部以 URL 的形式指定的,这可在没有 Internet 访问权限的系统上造成异常。此更新修改了插件,使其从本地位置拉取所需数据。(BZ#679543)
Eclipse 用户应升级这些更新后的程序包,其中修正了这些问题并添加这些增强。
Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。
请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
更新受影响的程序包。另见
http://www.nessus.org/u?442c9c85
https://access.redhat.com/security/updates/classification/#low
https://bugzilla.redhat.com/show_bug.cgi?id=622713
https://bugzilla.redhat.com/show_bug.cgi?id=622867
https://bugzilla.redhat.com/show_bug.cgi?id=656329
https://bugzilla.redhat.com/show_bug.cgi?id=656333
https://bugzilla.redhat.com/show_bug.cgi?id=656337
https://bugzilla.redhat.com/show_bug.cgi?id=656338
https://bugzilla.redhat.com/show_bug.cgi?id=656342
https://bugzilla.redhat.com/show_bug.cgi?id=656344
https://bugzilla.redhat.com/show_bug.cgi?id=656347
https://bugzilla.redhat.com/show_bug.cgi?id=656391
https://bugzilla.redhat.com/show_bug.cgi?id=656397
https://bugzilla.redhat.com/show_bug.cgi?id=661842
https://bugzilla.redhat.com/show_bug.cgi?id=661845
https://bugzilla.redhat.com/show_bug.cgi?id=661901
https://bugzilla.redhat.com/show_bug.cgi?id=664019
https://bugzilla.redhat.com/show_bug.cgi?id=668890
https://bugzilla.redhat.com/show_bug.cgi?id=669460
https://bugzilla.redhat.com/show_bug.cgi?id=669461
https://bugzilla.redhat.com/show_bug.cgi?id=669462
https://bugzilla.redhat.com/show_bug.cgi?id=669499
https://bugzilla.redhat.com/show_bug.cgi?id=669819
https://bugzilla.redhat.com/show_bug.cgi?id=670228
https://bugzilla.redhat.com/show_bug.cgi?id=673174
插件详情
严重性: Medium
ID: 54595
文件名: redhat-RHSA-2011-0568.nasl
版本: 1.20
类型: local
代理: unix
发布时间: 2011/5/20
最近更新时间: 2025/3/20
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
风险信息
VPR
风险因素: Low
分数: 3.8
Vendor
Vendor Severity: Low
CVSS v2
风险因素: Medium
基本分数: 4.3
时间分数: 3.4
矢量: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
CVSS 分数来源: CVE-2010-4647
CVSS v3
风险因素: Medium
基本分数: 6.1
时间分数: 5.5
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
漏洞信息
CPE: p-cpe:/a:redhat:enterprise_linux:eclipse-cdt, p-cpe:/a:redhat:enterprise_linux:eclipse-emf, p-cpe:/a:redhat:enterprise_linux:icu4j-javadoc, p-cpe:/a:redhat:enterprise_linux:eclipse-gef-examples, p-cpe:/a:redhat:enterprise_linux:eclipse-rse, p-cpe:/a:redhat:enterprise_linux:eclipse-emf-xsd-sdk, p-cpe:/a:redhat:enterprise_linux:eclipse-mylyn-wikitext, p-cpe:/a:redhat:enterprise_linux:icu4j, cpe:/o:redhat:enterprise_linux:6, p-cpe:/a:redhat:enterprise_linux:eclipse-mylyn-trac, p-cpe:/a:redhat:enterprise_linux:eclipse-mylyn-pde, p-cpe:/a:redhat:enterprise_linux:sat4j, p-cpe:/a:redhat:enterprise_linux:eclipse-emf-examples, p-cpe:/a:redhat:enterprise_linux:eclipse-emf-xsd, p-cpe:/a:redhat:enterprise_linux:eclipse, p-cpe:/a:redhat:enterprise_linux:eclipse-swt, p-cpe:/a:redhat:enterprise_linux:eclipse-mylyn-webtasks, p-cpe:/a:redhat:enterprise_linux:objectweb-asm, p-cpe:/a:redhat:enterprise_linux:eclipse-changelog, p-cpe:/a:redhat:enterprise_linux:eclipse-jdt, p-cpe:/a:redhat:enterprise_linux:icu4j-eclipse, p-cpe:/a:redhat:enterprise_linux:eclipse-oprofile, p-cpe:/a:redhat:enterprise_linux:jetty-eclipse, p-cpe:/a:redhat:enterprise_linux:eclipse-dtp, p-cpe:/a:redhat:enterprise_linux:eclipse-rcp, p-cpe:/a:redhat:enterprise_linux:eclipse-gef-sdk, p-cpe:/a:redhat:enterprise_linux:eclipse-gef, p-cpe:/a:redhat:enterprise_linux:eclipse-callgraph, p-cpe:/a:redhat:enterprise_linux:eclipse-cdt-parsers, p-cpe:/a:redhat:enterprise_linux:eclipse-mylyn, p-cpe:/a:redhat:enterprise_linux:eclipse-birt, p-cpe:/a:redhat:enterprise_linux:eclipse-emf-sdk, p-cpe:/a:redhat:enterprise_linux:eclipse-mylyn-cdt, p-cpe:/a:redhat:enterprise_linux:eclipse-platform, p-cpe:/a:redhat:enterprise_linux:eclipse-cdt-sdk, p-cpe:/a:redhat:enterprise_linux:eclipse-mylyn-java, p-cpe:/a:redhat:enterprise_linux:eclipse-pde, p-cpe:/a:redhat:enterprise_linux:eclipse-valgrind, p-cpe:/a:redhat:enterprise_linux:objectweb-asm-javadoc, p-cpe:/a:redhat:enterprise_linux:eclipse-linuxprofilingframework
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
可利用: true
易利用性: Exploits are available
补丁发布日期: 2011/5/19
漏洞发布日期: 2011/1/13
参考资料信息
CVE: CVE-2010-4647
BID: 44883