Debian セキュリティ勧告

DSA-2507-1 openjdk-6 -- 複数の脆弱性

報告日時:
2012-07-04
影響を受けるパッケージ:
openjdk-6
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2012-1711, CVE-2012-1713, CVE-2012-1716, CVE-2012-1717, CVE-2012-1718, CVE-2012-1719, CVE-2012-1723, CVE-2012-1724, CVE-2012-1725.
詳細:

Oracle Java プラットフォーム実装 OpenJDK に、複数の問題が発見されました。

  • CVE-2012-1711 CVE-2012-1719

    CORBA 実装に複数の欠陥があり、Java サンドボックスからの脱出に繋がる可能性があります。

  • CVE-2012-1713

    font マネージャでの入力のサニタイズ漏れにより、 任意のコードの実行に繋がる可能性があります。

  • CVE-2012-1716

    SynthLookAndFeel Swing クラスを悪用して、Java サンドボックスからの脱出が可能です。

  • CVE-2012-1717

    いくつかの一時ファイルが安全でない方法で作成されており、 ローカルでの情報漏えいにつながります。

  • CVE-2012-1718

    証明書無効化リストの実装が誤っています。

  • CVE-2012-1723 CVE-2012-1725

    Hotspot VM でのバイトコードベリファイアでの検証ミスのため、Java サンドボックスからの脱出に繋がる可能性があります。

  • CVE-2012-1724

    XML パーザでの入力のサニタイズ漏れにより、 無限ループによるサービス拒否攻撃に繋がる可能性があります。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバージョン 6b18-1.8.13-0+squeeze2 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 6b24-1.11.3-1 で修正されています。

直ぐに openjdk-6 パッケージをアップグレードすることを勧めます。