Debian セキュリティ勧告

DSA-2420-1 openjdk-6 -- 複数の脆弱性

報告日時:
2012-02-28
影響を受けるパッケージ:
openjdk-6
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2011-3377, CVE-2011-3563, CVE-2011-5035, CVE-2012-0497, CVE-2012-0501, CVE-2012-0502, CVE-2012-0503, CVE-2012-0505, CVE-2012-0506, CVE-2012-0507.
詳細:

Oracle Java プラットフォーム実装 OpenJDK に、複数の問題が発見されました。

  • CVE-2011-3377

    openjdk-6 パッケージ収録の Iced Tea ブラウザプラグインは、ある ドメイン名で、要求されるドメイン名と共通の接尾部を持つようなも のに対して同一オリジンポリシーを適用していません。

  • CVE-2011-3563

    Java サウンドコンポーネントで、配列境界が適切にチェックされて いません。この欠陥は悪意を持った入力や信頼されていない Java ア プリケーションまたはアプレットから悪用可能で、Java 仮想マシン のクラッシュやメモリ内容の取得などがおこなえます。

  • CVE-2011-5035

    OpenJDK 埋め込みのウェブサーバは要求パラメータ数が多すぎる場合 の保護を行っていないため、ハッシュ衝突によるサービス拒否攻撃が 可能です。

  • CVE-2012-0497

    Java2D はネイティブコードのグラフィックレンダラにグラフィック レンダリングオブジェクトを渡す前に適切なチェックを行っていない ため、Java 仮想マシンのクラッシュや、Java サンドボックスの迂回 などが可能です

  • CVE-2012-0501

    java.util.zip.ZipFile で使われている ZIP セントラルディレクト リパーザが細工された ZIP ファイルによりネイティブコード内で無 限再帰呼び出しを起こすため、サービス拒否攻撃が可能です。

  • CVE-2012-0502

    AWT KeyboardFocusManager クラスに欠陥があり、信頼されていない Java アプレットがキーボードフォーカスを奪えるため、機密情報を 取得可能です。

  • CVE-2012-0503

    java.util.TimeZone.setDefault() メソッドでセキュリティマネージ ャ呼び出しが抜けているため、信頼されていない Java アプリケーシ ョンまたはアプレットが新しい標準タイムゾーンを設定可能です。

  • CVE-2012-0505

    Java シリアライゼーションコードがシリアライゼーション例外に参 照情報を漏洩するため、信頼されていない Java アプレットやアプリ ケーションに機密オブジェクトが漏洩する可能性があります。

  • CVE-2012-0506

    Java の CORBA 実装で、一部の Corba オブジェクトのレポジトリ識 別子 (_ids() メソッドを用いて取得できるもの) が適切に保護され ていません。この欠陥は、変更できないはずのデータの変更に悪用可 能です。

  • CVE-2012-0507

    AtomicReferenceArray クラス実装で、配列が Object[] タイプであ るかどうかのチェックが適切に行われていません。悪意を持った Java アプリケーションまたはアプレットからこの欠陥が悪用可能で、 Java 仮想マシンのクラッシュや、Java サンドボックスの制限の迂回 などがおこなえます。

安定版 (stable) ディストリビューション (squeeze) では、これらの問題は バージョン 6b18-1.8.13-0+squeeze1 で修正されています。

テスト版 (wheezy) および不安定版 (unstable) ディストリビューションでは、 これらの問題はバージョン 6b24-1.11.1-1 で修正されています。

直ぐに openjdk-6 パッケージをアップグレードすることを勧めます。