Debians sikkerhedsbulletin

DSA-2507-1 openjdk-6 -- flere sårbarheder

Rapporteret den:
4. jul 2012
Berørte pakker:
openjdk-6
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2012-1711, CVE-2012-1713, CVE-2012-1716, CVE-2012-1717, CVE-2012-1718, CVE-2012-1719, CVE-2012-1723, CVE-2012-1724, CVE-2012-1725.
Yderligere oplysninger:

Flere sårbarheder er opdaget i OpenJDK, en implementering af Oracle Java-platformen.

  • CVE-2012-1711 CVE-2012-1719

    Flere fejl i implementeringen af CORBA kunne føre til udbrud fra Java-sandkassen.

  • CVE-2012-1713

    Manglende fornuftighedskontrol af inddata i fontmanageren kunne føre til udførelse af vilkårlig kode.

  • CVE-2012-1716

    SynthLookAndFeel Swing-klassen kunne misbruges til at bryde ud af Java-sandkassen.

  • CVE-2012-1717

    Flere midlertidige filer blev oprettet på usikker vis, medførende afsløring af lokale oplysninger.

  • CVE-2012-1718

    Certifikattilbagekaldelseslister var implementeret på ukorrekt vis.

  • CVE-2012-1723 CVE-2012-1725

    Valideringsfejl i bytecode-verifieren hørende til Hotspot VM kunne føre til udbrud fra Java-sandkassen.

  • CVE-2012-1724

    Manglende fornuftighedskontrol af inddata i XML-fortolkeren kunne føre til lammelsesangreb (denial of service) via en uendelig løkke.

I den stabile distribution (squeeze), er dette problem rettet i version 6b18-1.8.13-0+squeeze2.

I den ustabile distribution (sid), er dette problem rettet i version 6b24-1.11.3-1.

Vi anbefaler at du opgraderer dine openjdk-6-pakker.