セキュリティ情報 / 2011 / セキュリティ情報 -- DSA-2161-1 openjdk-6

Debian セキュリティ勧告

DSA-2161-1 openjdk-6 -- サービス拒否攻撃

報告日時:

2011-02-13

影響を受けるパッケージ:

openjdk-6

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 612660.
Mitre の CVE 辞書: CVE-2010-4476.

詳細:

Java プラットフォーム実装 OpenJDK の浮動小数点パーザが、 特定の入力文字列処理の際に無限ループに入ることが発見されました。 このような入力文字列は、有効な数字になっており、 攻撃者がネットワークから与えるデータに含ませることができるため、 サービス拒否攻撃に繋がります。

旧安定版 (lenny) では、この問題はバージョン 6b18-1.8.3-2~lenny1 で修正されています。技術的な理由により、この更新は別途リリースの予定です。

安定版 (stable) ディストリビューション (squeeze) では、 この問題はバージョン 6b18-1.8.3-2+squeeze1 で修正されています。

テスト版 (wheezy) および不安定版 (unstable) ディストリビューションでは、 この問題は近く修正予定です。

直ぐに openjdk-6 パッケージをアップグレードすることを勧めます。