Рекомендация Debian по безопасности
DLA-410-1 openjdk-6 -- обновление безопасности LTS
- Дата сообщения:
- 04.02.2016
- Затронутые пакеты:
- openjdk-6
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2015-7575, CVE-2015-8126, CVE-2015-8472, CVE-2016-0402, CVE-2016-0448, CVE-2016-0466, CVE-2016-0483, CVE-2016-0494.
- Более подробная информация:
-
В OpenJDK, реализации платформы Oracle Java, было обнаружено несколько уязвимостей, которые приводят к выходу за пределы песочницы Java, раскрытию информации, отказам в обслуживании и небезопасному шифрованию.
- CVE-2015-7575
Была обнаружена уязвимость в способе использования TLS 1.2 хеш-функции MD5 для подписывания пакетов ServerKeyExchange и Client Authentication во время рукопожатия TLS.
- CVE-2015-8126
Многочисленные переполнения буфера в функциях (1) png_set_PLTE и (2) png_get_PLTE в libpng до версии 1.0.64, 1.1.x до версии 1.2.x до версии 1.2.54, 1.3.x и 1.4.x до версии 1.4.17, 1.5.x до версии 1.5.24 и 1.6.x до версии 1.6.19 позволяют удалённым злоумышленникам вызывать отказ в обслуживании (аварийная остановка приложения), либо могут как-то по-другому влиять на безопасность. Переполнения буфера вызываются при помощи небольшого значения глубины цвета в части IHDR (известной как заголовок изображения) в изображении PNG.
- CVE-2015-8472
Переполнение буфера в функции png_set_PLTE в libpng до версии 1.0.65, 1.1.x и 1.2.x до версии 1.2.55, 1.3.x, 1.4.x до версии 1.4.18, 1.5.x до версии 1.5.25 и 1.6.x до версии 1.6.20 позволяет удалённым злоумышленникам вызывать отказ в обслуживании (аварийная остановка приложения), либо могут как-то по-другому влиять на безопасность. Переполнение буфера вызывается при помощи небольшого значения глубины цвета в части IHDR (известной как заголовок изображения) в изображении PNG. ВНИМАНИЕ: эта уязвимость имеет место из-за неполного исправления CVE-2015-8126.
- CVE-2016-0402
Неуказанная уязвимость в компонентах Java SE и Java SE Embedded в Oracle Java SE 6u105, 7u91 и 8u66, а также в Java SE Embedded 8u65 позволяет удалённым злоумышленникам влиять на целостность данных при помощи неизвестных векторов, связанных с поддержкой работы сети.
- CVE-2016-0448
Неуказанная уязвимость в компонентах Java SE и Java SE Embedded в Oracle Java SE 6u105, 7u91 и 8u66, а также в Java SE Embedded 8u65 позволяет удалённым аутентифицированным пользователям влиять на конфиденциальность при помощи векторов, связанных с JMX.
- CVE-2016-0466
Было обнаружено, что компонент JAXP в OpenJDK неправильно следит за соблюдением ограничения totalEntitySizeLimit. Злоумышленник, способный заставить Java-приложение обрабатывать специально сформированный файл XML, может использовать эту уязвимость для того, чтобы это приложение использовало чрезмерный объём памяти.
- CVE-2016-0483
Неуказанная уязвимость в компонентах Java SE, Java SE Embedded и JRockit в Oracle Java SE 6u105, 7u91 и 8u66, а также Java SE Embedded 8u65 и JRockit R28.3.8 позволяет удалённым злоумышленникам влиять на конфиденциальность, целостность данных и доступность с помощью векторов, связанных с AWT.
- CVE-2016-0494
Неуказанная уязвимость в компонентах Java SE и Java SE Embedded в Oracle Java SE 6u105, 7u91 и 8u66, а также Java SE Embedded 8u65 позволяет удалённым злоумышленникам влиять на конфиденциальность, целостность данных и доступность с помощью неизвестных векторов, связанных с 2D.
В Debian 6
Squeeze
эти проблемы были исправлены в версии 6b38-1.13.10-1~deb6u1.Рекомендуется обновить пакеты openjdk-6.
- CVE-2015-7575