Säkerhetsinformation / 2011 / Säkerhetsinformation -- DSA-2311-1 openjdk-6

Säkerhetsbulletin från Debian

DSA-2311-1 openjdk-6 -- flera sårbarheter

Rapporterat den:

2011-09-27

Berörda paket:

openjdk-6

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 629852.
I Mitres CVE-förteckning: CVE-2011-0862, CVE-2011-0864, CVE-2011-0865, CVE-2011-0867, CVE-2011-0868, CVE-2011-0869, CVE-2011-0871.

Ytterligare information:

Flera sårbarheter har upptäckts i OpenJDK, en implementation av plattformen Java SE. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

• CVE-2011-0862

  Heltalsspill i JPEG- och typsnittstolken tillåter opålitlig kod (inklusive applets) att öka sina rättigheter.

• CVE-2011-0864

  Hotspot, just-in-time-kompilatorn i OpenJDK, hanterade vissa bytekodinstruktioner felaktigt, och tillät opålitlig kod (inklusive applets) att krascha den virtuella maskinen.

• CVE-2011-0865

  En kapplöpningseffekt i deserialisering av signerade objekt kunde tillåta opålitlig kod att förändra signerat innehåll, och synligen lämna dess signatur intakt.

• CVE-2011-0867

  Opålitlig kod (inklusive applets) kunde få åtkomst till information om nätverksgränssnitt som inte var menade att vara publika. (Notera att gränssnittets MAC-adress fortfarande är tillgänglig för opålitlig kod).

• CVE-2011-0868

  En flyttal-till-long konvertering kunde översvämma, vilket tillåter opålitlig kod (inklusive applets) att krascha den virtuella maskinen.

• CVE-2011-0869

  Opålitlig kod (inklusive applets) kunde fånga upp HTTP-förfrågningar genom att omkonfigurera proxy-inställningar genom en SOAP-anslutning.

• CVE-2011-0871

  Opålitlig kod (inklusive applets) kunde höja sina rättigheter genom Swing MediaTracker-kod.

Utöver detta tar denna uppdatering bort stöd för Zero/Shark och Cacao Hotspot-varianterna från i386 och amd64 på grund av stabilitetsproblem. Dessa Hotspot-varianter inkluderas i paketen openjdk-6-jre-zero och icedtea-6-jre-cacao, och dessa paket måste tas bort under denna uppdatering.

För den gamla stabila utgåvan (Lenny) kommer dessa problem att rättas i en separat DSA på grund av tekniska orsaker.

För den stabila utgåvan (Squeeze) har dessa problem rättats i version 6b18-1.8.9-0.1~squeeze1.

För uttestningsutgåvan (Wheezy) och den instabila utgåvan (Sid) har dessa problem rättats i version 6b18-1.8.9-0.1.

Vi rekommenderar att ni uppgraderar era openjdk-6-paket.