Debian セキュリティ勧告
DSA-2420-1 openjdk-6 -- 複数の脆弱性
- 報告日時:
- 2012-02-28
- 影響を受けるパッケージ:
- openjdk-6
- 危険性:
- あり
- 参考セキュリティデータベース:
- Mitre の CVE 辞書: CVE-2011-3377, CVE-2011-3563, CVE-2011-5035, CVE-2012-0497, CVE-2012-0501, CVE-2012-0502, CVE-2012-0503, CVE-2012-0505, CVE-2012-0506, CVE-2012-0507.
- 詳細:
-
Oracle Java プラットフォーム実装 OpenJDK に、複数の問題が発見されました。
- CVE-2011-3377
openjdk-6 パッケージ収録の Iced Tea ブラウザプラグインは、ある ドメイン名で、要求されるドメイン名と共通の接尾部を持つようなも のに対して同一オリジンポリシーを適用していません。
- CVE-2011-3563
Java サウンドコンポーネントで、配列境界が適切にチェックされて いません。この欠陥は悪意を持った入力や信頼されていない Java ア プリケーションまたはアプレットから悪用可能で、Java 仮想マシン のクラッシュやメモリ内容の取得などがおこなえます。
- CVE-2011-5035
OpenJDK 埋め込みのウェブサーバは要求パラメータ数が多すぎる場合 の保護を行っていないため、ハッシュ衝突によるサービス拒否攻撃が 可能です。
- CVE-2012-0497
Java2D はネイティブコードのグラフィックレンダラにグラフィック レンダリングオブジェクトを渡す前に適切なチェックを行っていない ため、Java 仮想マシンのクラッシュや、Java サンドボックスの迂回 などが可能です
- CVE-2012-0501
java.util.zip.ZipFile で使われている ZIP セントラルディレクト リパーザが細工された ZIP ファイルによりネイティブコード内で無 限再帰呼び出しを起こすため、サービス拒否攻撃が可能です。
- CVE-2012-0502
AWT KeyboardFocusManager クラスに欠陥があり、信頼されていない Java アプレットがキーボードフォーカスを奪えるため、機密情報を 取得可能です。
- CVE-2012-0503
java.util.TimeZone.setDefault() メソッドでセキュリティマネージ ャ呼び出しが抜けているため、信頼されていない Java アプリケーシ ョンまたはアプレットが新しい標準タイムゾーンを設定可能です。
- CVE-2012-0505
Java シリアライゼーションコードがシリアライゼーション例外に参 照情報を漏洩するため、信頼されていない Java アプレットやアプリ ケーションに機密オブジェクトが漏洩する可能性があります。
- CVE-2012-0506
Java の CORBA 実装で、一部の Corba オブジェクトのレポジトリ識 別子 (_ids() メソッドを用いて取得できるもの) が適切に保護され ていません。この欠陥は、変更できないはずのデータの変更に悪用可 能です。
- CVE-2012-0507
AtomicReferenceArray クラス実装で、配列が Object[] タイプであ るかどうかのチェックが適切に行われていません。悪意を持った Java アプリケーションまたはアプレットからこの欠陥が悪用可能で、 Java 仮想マシンのクラッシュや、Java サンドボックスの制限の迂回 などがおこなえます。
安定版 (stable) ディストリビューション (squeeze) では、これらの問題は バージョン 6b18-1.8.13-0+squeeze1 で修正されています。
テスト版 (wheezy) および不安定版 (unstable) ディストリビューションでは、 これらの問題はバージョン 6b24-1.11.1-1 で修正されています。
直ぐに openjdk-6 パッケージをアップグレードすることを勧めます。
- CVE-2011-3377