Sikkerhedsoplysninger / 2011 / Sikkerhedsoplysninger -- DSA-2224-1 openjdk-6

Debians sikkerhedsbulletin

DSA-2224-1 openjdk-6 -- flere sårbarheder

Rapporteret den:

20. apr 2011

Berørte pakker:

openjdk-6

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2010-4351, CVE-2010-4448, CVE-2010-4450, CVE-2010-4465, CVE-2010-4469, CVE-2010-4470, CVE-2010-4471, CVE-2010-4472, CVE-2011-0025, CVE-2011-0706.

Yderligere oplysninger:

Flere sikkerhedssårbarheder blev opdaget i OpenJDK, en implementering af Java-platformen.

• CVE-2010-4351

  JNLP SecurityManager vender tilbage fra checkPermission-metoden i stedet for at kaste en exception under visse omstændigheder, hvilket måske gjorde det muligt for kontekstafhængige angribere at omgå den tilsigtede sikkerhedspolicy ved at oprette instanser ClassLoader.

• CVE-2010-4448

  Ondsindede applets kunne udføre DNS-cacheforgiftning.

• CVE-2010-4450

  En tom (men opsat) LD_LIBRARY_PATH-miljøvariabel medførte en fejlagtigt konstrueret bibliotekssøgesti, hvilket medførte udførelse af kode fra kilder som der måske ikke er tillid til.

• CVE-2010-4465

  Ondsindede applets kunne udvide deres rettigheder ved at misbruge Swing-timere.

• CVE-2010-4469

  Hotspot just-in-time-kompileren fejlkompilerede fabrikerede bytesekvenser, førende til heap-korruption.

• CVE-2010-4470

  JAXP kunne udnyttes af kode man ikke har tillid til, til at forøge rettigheder.

• CVE-2010-4471

  Java2D kunne udnyttes af kode man ikke har tillid til, til at forøge rettigheder.

• CVE-2010-4472

  Kode man ikke har tillid til kunne erstatte implementeringen af XML DSIG.

• CVE-2011-0025

  Signaturer på JAR-filer blev ikke verificeret på korrekt vis, hvilket gjorde det muligt for fjernangribere at narre brugere til at udføre kode, som lod til at komme fra en kilde, man har tillid til.

• CVE-2011-0706

  Klassen JNLPClassLoader gjorde det muligt for fjernangribere at opnå rettigheder via ukendte angrebsvinkler i relation til flere signere og tildelingen af en upassende sikkerhedsdescriptor.

Desuden indeholder denne sikkerhedsopdatering stablitetsrettelser, så som skift til den anbefalede Hotspot-version (hs14) i denne specifikke version af OpenJDK.

I den gamle stabile distribution (lenny), er disse problemer rettet i version 6b18-1.8.7-2~lenny1.

I den stabile distribution (squeeze), er disse problemer rettet i version 6b18-1.8.7-2~squeeze1.

I distributionen testing (wheezy) og i den ustabile distribution (sid), er disse problemer rettet i version 1.8.7-1.

Vi anbefaler at du opgraderer dine openjdk-6-pakker.