Debian Long Term Support / LTS Security Information / 2016 / Sikkerhedsoplysninger -- DLA-410-1 openjdk-6

Debians sikkerhedsbulletin

DLA-410-1 openjdk-6 -- LTS-sikkerhedsopdatering

Rapporteret den:

4. feb 2016

Berørte pakker:

openjdk-6

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2015-7575, CVE-2015-8126, CVE-2015-8472, CVE-2016-0402, CVE-2016-0448, CVE-2016-0466, CVE-2016-0483, CVE-2016-0494.

Yderligere oplysninger:

Flere sårbarheder er opdaget i OpenJDK, en implementering af Oracles Java-platform, medførende udbrud fra Java-sandkassen, informationsafsløring, lammelsesangreb og usikker kryptografi.

• CVE-2015-7575

  En fejl blev fundet i den måde TLS 1.2 kunne anvende MD5-hashfunktionen til signering af ServerKeyExchange- og Client Authentication-pakker under en TLS-handshake.

• CVE-2015-8126

  Flere bufferoverløb i funktionerne (1) png_set_PLTE og (2) png_get_PLTE i libpng før 1.0.64, 1.1.x og 1.2.x før 1.2.54, 1.3.x og 1.4.x før 1.4.17, 1.5.x før 1.5.24 samt 1.6.x før 1.6.19, gjorde det muligt for fjernangribere at forårsage et lammelsesangreb (applikationsnedbrud) eller muligvis have anden ikke-angivet indvirkning via en lille bit-depth-værdi i en IHDR-chunk (alias billedheader) i et PNG-billede.

• CVE-2015-8472

  Bufferoverløb i funktionen png_set_PLTE i libpng før 1.0.65, 1.1.x og 1.2.x før 1.2.55, 1.3.x, 1.4.x før 1.4.18, 1.5.x før 1.5.25 samt 1.6.x før 1.6.20, gjorde det muligt for fjernangribere at forårsage et lammelsesangreb (applikationsnedbrud) eller muligvis have anden ikke-angivet indvirkning gennem en lille bit-depth-værdi i en IHDR-chunk (alias billedheader) i et PNG-billede. Bemærk at sårbarheden skyldes en ufuldstændig rettelse af CVE-2015-8126.

• CVE-2016-0402

  Ikke-angivet sårbarhed i komponenterne Java SE og Java SE Embedded i Oracles Java SE 6u105, 7u91 og 8u66 samt Java SE Embedded 8u65, gjorde det muligt for fjernangribere at påvirke integriteten gennem ukendte angrebsvinkler med relation til Networking.

• CVE-2016-0448

  Ikke-angivet sårbarhed i komponenterne Java SE og Java SE Embedded i Oracles Java SE 6u105, 7u91 og 8u66 samt Java SE Embedded 8u65, gjorde det muligt for fjernautentificerede brugere at påvirke fortrolighed gennem angrebsvinkler med relation til JMX.

• CVE-2016-0466

  Man opdagede at JAXP-komponenten i OpenJDK ikke på korrekt vis håndhævede begrænsingen i totalEntitySizeLimit. En angriber med mulighed for at få en Java-applikation til at behandle en særligt fremstillet XML-fil, kunne udnytte fejlen til at få applikationen til at forbruge en alt for stor mængde hukommelse.

• CVE-2016-0483

  Ikke-angivet sårbarhed i komponenterne Java SE, Java SE Embedded og JRockit i Oracles Java SE 6u105, 7u91 og 8u66, samt Java SE Embedded 8u65 og JRockit R28.3.8, gjorde det muligt for fjernangriberre at påvirke fortrolighed, integritet og tilgængelighed gennem angrebsvinkler med relation til AWT.

• CVE-2016-0494

  Ikke-angivet sårbarhed i komponenterne Java SE og Java SE Embedded i Oracles Java SE 6u105, 7u91 og 8u66 samt Java SE Embedded 8u65, gjorde det muligt for fjernangribere at påvirke fortrolighed, integritet og tilgængelighed gennem ukendte angrebsvinkler med relation til 2D.

I Debian 6 Squeeze, er disse problemer rettet i version 6b38-1.13.10-1~deb6u1.

Vi anbefaler at du opgraderer dine openjdk-6-pakker.