Scientific Linux 安全更新:SL4.x、SL5.x i386/x86_64 中的 java (jdk 1.6.0)

high Nessus 插件 ID 60691

简介

远程 Scientific Linux 主机缺少一个或多个安全更新。

描述

CVE-2009-2409 在 SSL 证书验证中弃用了 MD2 (Kaminsky)

CVE-2009-3873 OpenJDK JPEG Image Writer 量化问题 (6862968)

CVE-2009-3875 OpenJDK MessageDigest.isEqual 引入时序攻击漏洞 (6863503)

CVE-2009-3876 OpenJDK ASN.1/DER 输入流解析器拒绝服务 (6864911) CVE-2009-3877

CVE-2009-3869 OpenJDK JRE AWT setDifflCM 堆栈溢出 (6872357)

CVE-2009-3871 OpenJDK JRE AWT setBytePixels 堆溢出 (6872358)

CVE-2009-3874 OpenJDK ImageI/O JPEG 堆溢出 (6874643)

CVE-2009-3728 OpenJDK ICC_Profile 文件存在性检测信息泄漏 (6631533)

CVE-2009-3881 OpenJDK 恢复的 classloader 仍可拥有子项 (6636650)

CVE-2009-3882 CVE-2009-3883 可变的变量中的 OpenJDK 信息泄漏(6657026、6657138)

CVE-2009-3880 OpenJDK UI 日志记录信息泄漏 (6664512)

CVE-2009-3879 OpenJDK GraphicsConfiguration 信息泄漏 (6822057)

CVE-2009-3884 OpenJDK zoneinfo 文件存在性信息泄漏 (6824265)

CVE-2009-3729 JRE TrueType 字体解析崩溃 (6815780)

CVE-2009-3872 JRE JPEG JFIF Decoder 问题 (6862969)

CVE-2009-3886 JRE REGRESSION:通过签名的 Jar 文件运行 JNLP 应用程序和小程序时发生问题 (6870531)

CVE-2009-3865 java-1.6.0-sun:JRE Deployment Toolkit 中的 ACE (6869752)

CVE-2009-3866 java-1.6.0-sun:Java Web Start Installer 中的权限升级 (6872824)

CVE-2009-3867 java-1.5.0-sun、java-1.6.0-sun:通过长 file: URL 参数造成的基于堆栈的缓冲区溢出 (6854303)

CVE-2009-3868 java-1.5.0-sun、java-1.6.0-sun:通过构建的图像文件造成的权限升级,原因是错误的颜色配置文件解析 (6862970)

此更新修复了 Sun Java 6 Runtime Environment 和 Sun Java 6 软件开发工具包中的多个漏洞。这些漏洞概述于 Sun Microsystems 的“Java SE 安全更新的提前通知”页面,列于“参考”部分中。(CVE-2009-2409、CVE-2009-3728、CVE-2009-3729)

CVE-2009-3865、CVE-2009-3866、CVE-2009-3867、CVE-2009-3868,

CVE-2009-3869、CVE-2009-3871、CVE-2009-3872、CVE-2009-3873,

CVE-2009-3874、CVE-2009-3875、CVE-2009-3876、CVE-2009-3877,

CVE-2009-3879、CVE-2009-3880、CVE-2009-3881、CVE-2009-3882,

(CVE-2009-3883、CVE-2009-3884、CVE-2009-3886)

必须重新启动所有正在运行的 Sun Java 实例才能使更新生效。

解决方案

更新受影响的 java-1.6.0-sun-compat 和/或 jdk 程序包。

另见

http://www.nessus.org/u?6a7a8b8a

插件详情

严重性: High

ID: 60691

文件名: sl_20091109_java__jdk_1_6_0__on_SL4_x.nasl

版本: 1.9

类型: local

代理: unix

发布时间: 2012/8/1

最近更新时间: 2021/1/14

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Critical

分数: 9.8

CVSS v2

风险因素: High

基本分数: 9.3

矢量: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

漏洞信息

CPE: x-cpe:/o:fermilab:scientific_linux

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可利用: true

易利用性: Exploits are available

补丁发布日期: 2009/11/9

漏洞发布日期: 2009/7/30

可利用的方式

CANVAS (CANVAS)

Core Impact

Metasploit (Sun Java JRE AWT setDiffICM Buffer Overflow)

参考资料信息

CVE: CVE-2009-2409, CVE-2009-3728, CVE-2009-3729, CVE-2009-3865, CVE-2009-3866, CVE-2009-3867, CVE-2009-3868, CVE-2009-3869, CVE-2009-3871, CVE-2009-3872, CVE-2009-3873, CVE-2009-3874, CVE-2009-3875, CVE-2009-3876, CVE-2009-3877, CVE-2009-3879, CVE-2009-3880, CVE-2009-3881, CVE-2009-3882, CVE-2009-3883, CVE-2009-3884, CVE-2009-3886

CWE: 119, 189, 200, 22, 264, 310, 399, 94