セキュリティ情報 / 2011 / セキュリティ情報 -- DSA-2311-1 openjdk-6

Debian セキュリティ勧告

DSA-2311-1 openjdk-6 -- 複数の脆弱性

報告日時:

2011-09-27

影響を受けるパッケージ:

openjdk-6

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 629852.
Mitre の CVE 辞書: CVE-2011-0862, CVE-2011-0864, CVE-2011-0865, CVE-2011-0867, CVE-2011-0868, CVE-2011-0869, CVE-2011-0871.

詳細:

Java SE プラットフォーム実装 OpenJDK に、複数の問題が発見されました。 The Common Vulnerabilities and Exposures project は以下の問題を認識 しています。

• CVE-2011-0862

  JPEG およびフォントパーザに整数オーバフローがあり、信用でき ないコード (アプレット含む) が、特権の昇格可能です。

• CVE-2011-0864

  OpenJDK の just-in-time コンパイラである Hotspot が一部のバ イトコード命令の処理を誤っており、信用できないコード (アプレ

• CVE-2011-0865

  符号付きオブジェクトのシリアライズに競合条件があり、信用でき ないコード (アプレット含む) がシグネチャを損なうことなく符号 付きのコンテンツを変更可能です。

• CVE-2011-0867

  信用できないコード (アプレット含む) が、ネットワークインター フェースに関する公開を意図していない情報を読み取り可能です (インターフェース MAC アドレスは引き続き信用できないコードか らのアクセスが可能です)。

• CVE-2011-0868

  浮動小数点から long 型整数の変換がオーバフローするため、信用 できないコード (アプレット含む) が仮想マシンをクラッシュ可能 です。

• CVE-2011-0869

  信用できないコード (アプレット含む) が、SOAP コネクションを 用いてプロキシサーバ再設定要求を出すことにより、HTTP リクエ スト要求を中断可能です。

• CVE-2011-0871

  信用できないコード (アプレット含む) が、Swing MediaTracker コード経由で特権の昇格可能です。

加えて、この修正では i386 および amd64 向け Zero/Shark および Cacao ホットスポットおよびその派生に対するサポートを安定性の問題のため打ち 切っています。これらのホットスポット対応は、openjdk-6-jre-zero およ び icedtea-6-jre-cacao に収録されており、この更新時にはこれらパッケ ージは削除の必要があります。

旧安定版 (oldstable) ディストリビューション (lenny) では、この問題の 修正は技術的理由により別 DSA となります。

安定版 (stable) ディストリビューション (squeeze) では、これらの問題は バージョン 6b18-1.8.9-0.1~squeeze1 で修正されています。

テスト版 (testing) ディストリビューション (wheezy) と不安定版 (unstable) ディストリビューション (sid) では、これらの問題はバージョ ン 6b18-1.8.9-0.1 で修正されています。

直ぐに OpenJDK パッケージをアップグレードすることを勧めます。