Debians sikkerhedsbulletin

DSA-2420-1 openjdk-6 -- flere sårbarheder

Rapporteret den:
28. feb 2012
Berørte pakker:
openjdk-6
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2011-3377, CVE-2011-3563, CVE-2011-5035, CVE-2012-0497, CVE-2012-0501, CVE-2012-0502, CVE-2012-0503, CVE-2012-0505, CVE-2012-0506, CVE-2012-0507.
Yderligere oplysninger:

Flere sårbarheder er opdaget i OpenJDK, en implementering af Oracles Java-platform.

  • CVE-2011-3377

    Browserplugin'en IcedTea, som medfølger i openjdk-6-pakken, håndhæver ikke på korrekt vis Same Origin Policy hvad angår webindhold, som serveres fra et domænenavn, der har samme suffiks som det krævede domænenavn.

  • CVE-2011-3563

    Java Sound-komponenten kontrollerede ikke på korrekt vis arraygrænser. Ondsindet inddata eller en Java-applikation eller -applet, der ikke er tillid til, kunne udnytte fejlen til at få Java Virtual Machine til at gå ned eller blotlægge dele af sin hukommelse.

  • CVE-2011-5035

    OpenJDK's indlejrede webserver sikrede ikke mod et overdrevet antal forespørgselsparametre, hvilket førte til en lammelsesangrebssårbarhed (denial of service), som involverede hash-kollisioner.

  • CVE-2012-0497

    Man opdagede, at Java2D ikke på korrekt vis kontrollerede grafikrenderingobjekter, før de blev overført til den indbyggede renderer. Det kunne føre til JVM-nedbrud eller omgåelse af Java-sandkassen.

  • CVE-2012-0501

    Den centrale ZIP-mappefortolker, som anvendes af java.util.zip.ZipFile gik i en uendelig løkke i native kode, når der blev behandlet en fabrikeret ZIP-fil, førende til et lammelsesangreb.

  • CVE-2012-0502

    En fejl blev fundet i klassen AWT KeyboardFocusManager, som kunne gøre det muligt for Java-applets, der ikke er tillid til, at få tastaturfokus og muligvis stjæle følsomme oplysninger.

  • CVE-2012-0503

    Metoden java.util.TimeZone.setDefault() manglede et kald af sikkerhedsmanageren, hvilket gjorde det muligt for en Java-applikation eller -applet, som der ikke er tillid til, at opsætte en ny standardtidszone.

  • CVE-2012-0505

    Java-serialiseringskoden lækkede referencer til serialiseringsexceptions, muligvis førende til lækage af kritiske objekter til kode i Java-applets og -applikationer, som der ikke er tillid til.

  • CVE-2012-0506

    Man opdagede, at CORBA-implementeringen i Java ikke på korrekt vis beskyttede repositoryidentifikatorer (som kan skaffes via metoden using _ids()) på visse Corba-objekter. Det kunne have været udnyttet til at foretage ændringer af data, der skulle have været uforanderlige.

  • CVE-2012-0507

    Klasseimplementeringen af AtomicReferenceArray kontrollerede ikke på korrekt vis, om et array havde den forventede Object[]-type. En ondsindet Java-applikation eller -applet kunne anvende fejlen til at få Java Virtual Machine til at gå ned eller til at omgå restriktioner på Java-sandkassen.

I den stabile distribution (squeeze), er disse problemer rettet i version 6b18-1.8.13-0+squeeze1.

I distributionen testing (wheezy) og i den ustabile distribution (sid), er disse problemer rettet i version 6b24-1.11.1-1.

Vi anbefaler at du opgraderer dine openjdk-6-pakker.