Sikkerhedsoplysninger / 2012 / Sikkerhedsoplysninger -- DSA-2420-1 openjdk-6

Debians sikkerhedsbulletin

DSA-2420-1 openjdk-6 -- flere sårbarheder

Rapporteret den:

28. feb 2012

Berørte pakker:

openjdk-6

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2011-3377, CVE-2011-3563, CVE-2011-5035, CVE-2012-0497, CVE-2012-0501, CVE-2012-0502, CVE-2012-0503, CVE-2012-0505, CVE-2012-0506, CVE-2012-0507.

Yderligere oplysninger:

Flere sårbarheder er opdaget i OpenJDK, en implementering af Oracles Java-platform.

• CVE-2011-3377

  Browserplugin'en IcedTea, som medfølger i openjdk-6-pakken, håndhæver ikke på korrekt vis Same Origin Policy hvad angår webindhold, som serveres fra et domænenavn, der har samme suffiks som det krævede domænenavn.

• CVE-2011-3563

  Java Sound-komponenten kontrollerede ikke på korrekt vis arraygrænser. Ondsindet inddata eller en Java-applikation eller -applet, der ikke er tillid til, kunne udnytte fejlen til at få Java Virtual Machine til at gå ned eller blotlægge dele af sin hukommelse.

• CVE-2011-5035

  OpenJDK's indlejrede webserver sikrede ikke mod et overdrevet antal forespørgselsparametre, hvilket førte til en lammelsesangrebssårbarhed (denial of service), som involverede hash-kollisioner.

• CVE-2012-0497

  Man opdagede, at Java2D ikke på korrekt vis kontrollerede grafikrenderingobjekter, før de blev overført til den indbyggede renderer. Det kunne føre til JVM-nedbrud eller omgåelse af Java-sandkassen.

• CVE-2012-0501

  Den centrale ZIP-mappefortolker, som anvendes af java.util.zip.ZipFile gik i en uendelig løkke i native kode, når der blev behandlet en fabrikeret ZIP-fil, førende til et lammelsesangreb.

• CVE-2012-0502

  En fejl blev fundet i klassen AWT KeyboardFocusManager, som kunne gøre det muligt for Java-applets, der ikke er tillid til, at få tastaturfokus og muligvis stjæle følsomme oplysninger.

• CVE-2012-0503

  Metoden java.util.TimeZone.setDefault() manglede et kald af sikkerhedsmanageren, hvilket gjorde det muligt for en Java-applikation eller -applet, som der ikke er tillid til, at opsætte en ny standardtidszone.

• CVE-2012-0505

  Java-serialiseringskoden lækkede referencer til serialiseringsexceptions, muligvis førende til lækage af kritiske objekter til kode i Java-applets og -applikationer, som der ikke er tillid til.

• CVE-2012-0506

  Man opdagede, at CORBA-implementeringen i Java ikke på korrekt vis beskyttede repositoryidentifikatorer (som kan skaffes via metoden using _ids()) på visse Corba-objekter. Det kunne have været udnyttet til at foretage ændringer af data, der skulle have været uforanderlige.

• CVE-2012-0507

  Klasseimplementeringen af AtomicReferenceArray kontrollerede ikke på korrekt vis, om et array havde den forventede Object[]-type. En ondsindet Java-applikation eller -applet kunne anvende fejlen til at få Java Virtual Machine til at gå ned eller til at omgå restriktioner på Java-sandkassen.

I den stabile distribution (squeeze), er disse problemer rettet i version 6b18-1.8.13-0+squeeze1.

I distributionen testing (wheezy) og i den ustabile distribution (sid), er disse problemer rettet i version 6b24-1.11.1-1.

Vi anbefaler at du opgraderer dine openjdk-6-pakker.