セキュリティ情報 / 2012 / セキュリティ情報 -- DSA-2507-1 openjdk-6

Debian セキュリティ勧告

DSA-2507-1 openjdk-6 -- 複数の脆弱性

報告日時:

2012-07-04

影響を受けるパッケージ:

openjdk-6

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2012-1711, CVE-2012-1713, CVE-2012-1716, CVE-2012-1717, CVE-2012-1718, CVE-2012-1719, CVE-2012-1723, CVE-2012-1724, CVE-2012-1725.

詳細:

Oracle Java プラットフォーム実装 OpenJDK に、複数の問題が発見されました。

• CVE-2012-1711 CVE-2012-1719

  CORBA 実装に複数の欠陥があり、Java サンドボックスからの脱出に繋がる可能性があります。

• CVE-2012-1713

  font マネージャでの入力のサニタイズ漏れにより、 任意のコードの実行に繋がる可能性があります。

• CVE-2012-1716

  SynthLookAndFeel Swing クラスを悪用して、Java サンドボックスからの脱出が可能です。

• CVE-2012-1717

  いくつかの一時ファイルが安全でない方法で作成されており、 ローカルでの情報漏えいにつながります。

• CVE-2012-1718

  証明書無効化リストの実装が誤っています。

• CVE-2012-1723 CVE-2012-1725

  Hotspot VM でのバイトコードベリファイアでの検証ミスのため、Java サンドボックスからの脱出に繋がる可能性があります。

• CVE-2012-1724

  XML パーザでの入力のサニタイズ漏れにより、 無限ループによるサービス拒否攻撃に繋がる可能性があります。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバージョン 6b18-1.8.13-0+squeeze2 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 6b24-1.11.3-1 で修正されています。

直ぐに openjdk-6 パッケージをアップグレードすることを勧めます。