Debians sikkerhedsbulletin
DSA-2420-1 openjdk-6 -- flere sårbarheder
- Rapporteret den:
- 28. feb 2012
- Berørte pakker:
- openjdk-6
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2011-3377, CVE-2011-3563, CVE-2011-5035, CVE-2012-0497, CVE-2012-0501, CVE-2012-0502, CVE-2012-0503, CVE-2012-0505, CVE-2012-0506, CVE-2012-0507.
- Yderligere oplysninger:
-
Flere sårbarheder er opdaget i OpenJDK, en implementering af Oracles Java-platform.
- CVE-2011-3377
Browserplugin'en IcedTea, som medfølger i openjdk-6-pakken, håndhæver ikke på korrekt vis Same Origin Policy hvad angår webindhold, som serveres fra et domænenavn, der har samme suffiks som det krævede domænenavn.
- CVE-2011-3563
Java Sound-komponenten kontrollerede ikke på korrekt vis arraygrænser. Ondsindet inddata eller en Java-applikation eller -applet, der ikke er tillid til, kunne udnytte fejlen til at få Java Virtual Machine til at gå ned eller blotlægge dele af sin hukommelse.
- CVE-2011-5035
OpenJDK's indlejrede webserver sikrede ikke mod et overdrevet antal forespørgselsparametre, hvilket førte til en lammelsesangrebssårbarhed (denial of service), som involverede hash-kollisioner.
- CVE-2012-0497
Man opdagede, at Java2D ikke på korrekt vis kontrollerede grafikrenderingobjekter, før de blev overført til den indbyggede renderer. Det kunne føre til JVM-nedbrud eller omgåelse af Java-sandkassen.
- CVE-2012-0501
Den centrale ZIP-mappefortolker, som anvendes af java.util.zip.ZipFile gik i en uendelig løkke i native kode, når der blev behandlet en fabrikeret ZIP-fil, førende til et lammelsesangreb.
- CVE-2012-0502
En fejl blev fundet i klassen AWT KeyboardFocusManager, som kunne gøre det muligt for Java-applets, der ikke er tillid til, at få tastaturfokus og muligvis stjæle følsomme oplysninger.
- CVE-2012-0503
Metoden java.util.TimeZone.setDefault() manglede et kald af sikkerhedsmanageren, hvilket gjorde det muligt for en Java-applikation eller -applet, som der ikke er tillid til, at opsætte en ny standardtidszone.
- CVE-2012-0505
Java-serialiseringskoden lækkede referencer til serialiseringsexceptions, muligvis førende til lækage af kritiske objekter til kode i Java-applets og -applikationer, som der ikke er tillid til.
- CVE-2012-0506
Man opdagede, at CORBA-implementeringen i Java ikke på korrekt vis beskyttede repositoryidentifikatorer (som kan skaffes via metoden using _ids()) på visse Corba-objekter. Det kunne have været udnyttet til at foretage ændringer af data, der skulle have været uforanderlige.
- CVE-2012-0507
Klasseimplementeringen af AtomicReferenceArray kontrollerede ikke på korrekt vis, om et array havde den forventede Object[]-type. En ondsindet Java-applikation eller -applet kunne anvende fejlen til at få Java Virtual Machine til at gå ned eller til at omgå restriktioner på Java-sandkassen.
I den stabile distribution (squeeze), er disse problemer rettet i version 6b18-1.8.13-0+squeeze1.
I distributionen testing (wheezy) og i den ustabile distribution (sid), er disse problemer rettet i version 6b24-1.11.1-1.
Vi anbefaler at du opgraderer dine openjdk-6-pakker.
- CVE-2011-3377