Bulletin d'alerte Debian

DLA-1886-2 openjdk-7 -- Mise à jour de sécurité pour LTS

Date du rapport :
23 août 2019
Paquets concernés :
openjdk-7
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 935082, Bogue 750400.
Plus de précisions :

La dernière mise à jour de sécurité de openjdk-7 causait une régression lorsque les applications reposaient sur les algorithmes utilisant les courbes elliptiques pour établir les connexions SSL. Plusieurs classes dupliquées ont été supprimées de rt.jar par les développeurs amont d’OpenJDK parce qu’elles étaient aussi présentes dans sunec.jar. Cependant, Debian n’embarquait pas le fournisseur de sécurité SunEC dans OpenJDK 7.

Le problème a été corrigé en construisant sunec.jar et sa bibliothèque native correspondante libsunec.so à partir du source. Pour construire ces bibliothèques à partir du source, une mise à niveau vers la version 2:3.26-1+debu8u6 est nécessaire.

Les mises à jour pour l’architecture amd64 sont déjà disponibles, les nouveaux paquets pour i386, armel et armhf seront disponibles sous 24 heures.

Pour Debian 8 Jessie, ce problème a été corrigé dans la version 7u231-2.6.19-1~deb8u2.

Nous vous recommandons de mettre à jour vos paquets openjdk-7.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.