LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2016 / Informations sur la sécurité -- DLA-410-1 openjdk-6

Bulletin d'alerte Debian

DLA-410-1 openjdk-6 -- Mise à jour de sécurité pour LTS

Date du rapport :

4 février 2016

Paquets concernés :

openjdk-6

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2015-7575, CVE-2015-8126, CVE-2015-8472, CVE-2016-0402, CVE-2016-0448, CVE-2016-0466, CVE-2016-0483, CVE-2016-0494.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans OpenJDK, une implémentation de la plateforme Java d'Oracle, avec pour conséquence des fuites du bac à sable Java, la divulgation d'informations, un déni de service ou un chiffrement non sûr.

• CVE-2015-7575

  Un défaut a été découvert dans la façon dont TLS 1.2 pourrait utiliser la fonction de hachage MD5 lors de la signature de paquets ServerKeyExchange et d'authentification du client pendant l’initialisation de connexion TLS.

• CVE-2015-8126

  Plusieurs dépassements de tampon dans les fonctions, (1) png_set_PLTE et (2) png_get_PLTE, dans les versions de libpng avant 1.0.64, 1.1.x, 1.2.x avant 1.2.54, 1.3.x, 1.4.x avant 1.4.17, 1.5.x avant 1.5.24 et 1.6.x avant 1.6.19, permettent à des attaquants distants de provoquer un déni de service (plantage d'application) ou éventuellement d’avoir d’autres impacts non précisés, à l’aide d'une faible valeur de profondeur de couleurs dans un tronçon d’IHDR (c'est-à-dire, d'en-tête d’image) d’une image PNG.

• CVE-2015-8472

  Un dépassement de tampon dans la fonction png_set_PLTE des versions de libpng avant 1.0.65, 1.1.x, 1.2.x avant 1.2.55, 1.3.x, 1.4.x avant 1.4.18, 1.5.x avant 1.5.25 et 1.6.x avant 1.6.20, permet à des attaquants distants de provoquer un déni de service (plantage d'application) ou éventuellement d’avoir d’autres impacts non précisés, à l’aide d'une faible valeur de profondeur de couleurs dans un tronçon d’IHDR (c'est-à-dire, d'en-tête d’image) d’une image PNG. REMARQUE : cette vulnérabilité existe à cause d’un correctif incomplet pour CVE-2015-8126.

• CVE-2016-0402

  Une vulnérabilité non précisée dans les composants Java SE et Java SE Embedded d’Oracle Java SE 6u105, 7u91 et 8u66 et Java SE Embedded 8u65, permet aux attaquants distants d’affecter l’intégrité à l’aide de moyens non connus relatifs au réseautage.

• CVE-2016-0448

  Une vulnérabilité non précisée dans les composants Java SE et Java SE Embedded d’Oracle Java SE 6u105, 7u91 et 8u66 et Java SE Embedded 8u65, permet à des utilisateurs distants d’affecter la confidentialité à l’aide de moyens relatifs à JMX.

• CVE-2016-0466

  Le composant JAXP dans OpenJDK n’impose pas correctement la limite totalEntitySizeLimit. Un attaquant pouvant faire qu’une application Java traite un fichier XML contrefait pour l'occasion pourrait utiliser ce défaut pour consommer excessivement de la mémoire.

• CVE-2016-0483

  Une vulnérabilité non précisée dans les composants Java SE et Java SE Embedded d’Oracle Java SE 6u105, 7u91 et 8u66 et Java SE Embedded 8u65, et JRockit R28.3.8 permet à des attaquants distants d’affecter les confidentialité, intégrité et disponibilité à l’aide de moyens relatifs à AWT.

• CVE-2016-0494

  Une vulnérabilité non précisée dans les composants Java SE et Java SE pour l’embarqué des éditions d’Oracle Java SE 6u105, 7u91 et 8u66 et Java SE Embedded 8u65, permet aux attaquants distants d’affecter la confidentialité, l'intégrité et la disponibilité à l’aide de moyens relatifs à 2D.

Pour Debian 6 Squeeze, ces problèmes ont été résolus dans la version 6b38-1.13.10-1~deb6u1.

Nous vous recommandons de mettre à jour vos paquets openjdk-6.