Säkerhetsinformation / 2012 / Säkerhetsinformation -- DSA-2420-1 openjdk-6

Säkerhetsbulletin från Debian

DSA-2420-1 openjdk-6 -- flera sårbarheter

Rapporterat den:

2012-02-28

Berörda paket:

openjdk-6

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2011-3377, CVE-2011-3563, CVE-2011-5035, CVE-2012-0497, CVE-2012-0501, CVE-2012-0502, CVE-2012-0503, CVE-2012-0505, CVE-2012-0506, CVE-2012-0507.

Ytterligare information:

Flera sårbarheter har upptäckts i OpenJDK, en implementation av Oracle Java-platformen.

• CVE-2011-3377

  Webbläsarinsticksmodulen IcedTea som inkluderades i paketet openjdk-6 tvingar inte Same Origin Policy ordentligt på webbinnehåll som tillhandahålls under ett domännamn som har samma suffix som efterfrågade domännamnet.

• CVE-2011-3563

  Komponenten Java Sound kontrollerade inte ordentligt efter arraygränser. Illasinnad indata eller en opålitligt Javaapplikation eller applet kunde använda denna brist för att orsaka virtuella Javamaskinen att krascha eller avslöja en del av sitt minne.

• CVE-2011-5035

  OpenJDK's inbäddade webbserver skuddade inte mot ett överdrivet antal frågaparametrar, vilket leder till en överbelastningssårbarhet vilket inkluderar hash-kollisioner.

• CVE-2012-0497

  Man har upptäckt att Java2D inte ordentligt kontrollerar grafikrenderingsobjekt innan dessa skickas till nativerenderaren. Detta kunde leda till att JVM kraschar eller en Javasandboxförbigång.

• CVE-2012-0501

  ZIPs centrala mapptolk som används av java.util.zip.ZipFile gick in i en oändlig rekursion i native kod vid behandling av en skapad ZIP-fil, vilket leder till en överbelastning.

• CVE-2012-0502

  En brist har upptäckts i klassen AWT KeyboardFocusManager som kunde tillåta opålitliga Javaapplets att få tangentbordsfokus och möjligen stjäla känslig information.

• CVE-2012-0503

  Metoden java.util.TimeZone.setDefault() saknade invokation av en säkerhetshanterarfunktion, vilket tillät en opålitlig Javaapplikation eller applet att sätte en ny standardtidzon.

• CVE-2012-0505

  Javaserialiseringskoden läckte referenser till serialiseringsundantag, och kunde därmed möjligen läcla kritiska objekt till opålitlig kod i Javaapplets och applikationer.

• CVE-2012-0506

  Man har upptäckt att CORBA-implementationen i Java inte ordenligt skyddar förrådsidentifierare (som kan hämtas med hjälp av ids()-metoden) på vissa Corba-objekt. Detta kunde användas för att utföra modifikationer i data som skulle ha varit oföränderlig.

• CVE-2012-0507

  Klassimplementationen AtomicReferenceArray kontrollerade inte ordentligt om arrayen är den förväntade Object[]-typen. En illasinnad Javaapplikation eller applet kunde använda denna brist för att orsaka Java Virtual Machine att krascha eller förbigå Javasandboxrestriktioner.

För den stabila utgåvan (Squeeze) har dessa problem rättats i version 6b18-1.8.13-0+squeeze1.

För uttestningsutgåvan (Wheezy) och den instabila utgåvan (Sid) har dessa problem rättats i version 6b24-1.11.1-1.

Vi rekommenderar att ni uppgraderar era openjdk-6-paket.