openSUSE 安全更新:java-1_7_0-openjdk (openSUSE-SU-2013:0745-1)

critical Nessus 插件 ID 74990

简介

远程 openSUSE 主机缺少安全更新。

描述

- 在 openSUSE 12.3+ 中应用 aarch64 修补程序,较早的版本中未定义 EM_AARCH64

- 更新到 icedtea-2.3.9 (bnc#816720)

- 安全补丁

- S6657673、CVE-2013-1518:JAXP 问题

- S7200507:重构 Introspector 内部

- S8000724、CVE-2013-2417:改进网络序列化

- S8001031、CVE-2013-2419:优化字体处理

- S8001040、CVE-2013-1537:重做 RMI 模型

- S8001322:重构反序列化

- S8001329、CVE-2013-1557:增加 RMI 记录

- S8003335:优化对终结器线程的处理

- S8003445:调整 JAX-WS 以瞄准 API

- S8003543、CVE-2013-2415:改进对 MTOM 附件的处理

- S8004261:改进输入验证

- S8004336、CVE-2013-2431:优化对方法句柄内在帧的处理

- S8004986、CVE-2013-2383:优化对字形表的处理

- S8004987、CVE-2013-2384:改进字体布局

- S8004994、CVE-2013-1569:改进对字形表的检查

- S8005432:更新对 JAX-WS 的访问

- S8005943:(进程)改进的 Runtime.exec

- S8006309:更可靠的控制面板操作

- S8006435、CVE-2013-2424:JMX 中的改进

- S8006790:改进对 Windows 的检查

- S8006795:改进字体警告消息

- S8007406:改进 AccessBridge 可访问性

- S8007617、CVE-2013-2420:优化图像验证

- S8007667、CVE-2013-2430:优化图像读取

- S8007918、CVE-2013-2429:优化图像写入

- S8008140:优化方法句柄解析

- S8009049,CVE-2013-2436:优化方法句柄绑定

- S8009063、CVE-2013-2426:改进 ConcurrentHashMap 的可靠性

- S8009305、CVE-2013-0401:改进 AWT 数据传输

- S8009677,CVE-2013-2423:优化资源库设置

- S8009699、CVE-2013-2421:Methodhandle 查找

- S8009814、CVE-2013-1488:优化驱动程序管理

- S8009857、CVE-2013-2422:插件有问题

- 向后移植

- S7130662,RH928500:使用 NPE 时造成 GTK 文件对话框崩溃

- 缺陷补丁

- PR1363:Fedora 19 / rawhide FTBFS SIGILL

- PR1401:修复了 2.3.8 上的 Zero 版本

- 修复了 ICU LETableReference 中的偏移问题。

- 更改 -Werror 补丁,以保留 OpenJDK 默认设置。

- PR1303:将 #ifdef 修正为 #if

- PR1404:通过 ecj 4.2 启动失败

- 添加了 url 作为来源。请参阅 http://en.opensuse.org/SourceUrls

- icedtea-2.3.8-zero-patches.patch:删除不适用于零兼容热点的修补程序

- java-1.7.0-openjdk-fork.patch:添加对无 fork syscall 架构的支持

- java-1.7.0-openjdk-aarch64.patch:添加对 aarch64 的支持

解决方案

更新受影响的 java-1_7_0-openjdk 程序包。

另见

https://en.opensuse.org/SourceUrls

https://bugzilla.novell.com/show_bug.cgi?id=816720

https://lists.opensuse.org/opensuse-updates/2013-05/msg00010.html

插件详情

严重性: Critical

ID: 74990

文件名: openSUSE-2013-402.nasl

版本: 1.8

类型: local

代理: unix

发布时间: 2014/6/13

最近更新时间: 2022/5/25

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

风险信息

VPR

风险因素: Critical

分数: 9.8

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 8.7

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

漏洞信息

CPE: p-cpe:/a:novell:opensuse:java-1_7_0-openjdk, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-debugsource, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-demo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-demo-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-devel, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-devel-debuginfo, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-javadoc, p-cpe:/a:novell:opensuse:java-1_7_0-openjdk-src, cpe:/o:novell:opensuse:12.2

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2013/4/24

CISA 已知可遭利用的漏洞到期日期: 2022/6/15

可利用的方式

CANVAS (CANVAS)

Core Impact

Metasploit (Java Applet Reflection Type Confusion Remote Code Execution)

参考资料信息

CVE: CVE-2013-0401, CVE-2013-1488, CVE-2013-1518, CVE-2013-1537, CVE-2013-1557, CVE-2013-1569, CVE-2013-2383, CVE-2013-2384, CVE-2013-2415, CVE-2013-2417, CVE-2013-2419, CVE-2013-2420, CVE-2013-2421, CVE-2013-2422, CVE-2013-2423, CVE-2013-2424, CVE-2013-2426, CVE-2013-2429, CVE-2013-2430, CVE-2013-2431, CVE-2013-2436

BID: 58504, 58507, 59131, 59141, 59153, 59159, 59162, 59165, 59166, 59167, 59170, 59179, 59184, 59187, 59190, 59194, 59206, 59212, 59213, 59228, 59243