2012年2月29日

[debian-users:55999] [Translate] [SECURITY] [DSA 2420-1] openjdk-6 security update

かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を確認
ください。

------>8------------>8------------>8------------>8------------>8-
- -------------------------------------------------------------------------
Debian Security Advisory DSA-2420-1 security@xxxxx
http://www.debian.org/security/ Florian Weimer

February 28, 2012 http://www.debian.org/security/faq
- -------------------------------------------------------------------------

Package : openjdk-6
Vulnerability : 複数
Problem type : リモート
Debian-specific: いいえ
CVE ID : CVE-2011-3377 CVE-2011-3563 CVE-2011-5035 CVE-2012-0497
CVE-2012-0501 CVE-2012-0502 CVE-2012-0503 CVE-2012-0505
CVE-2012-0506 CVE-2012-0507

Oracle Java プラットフォーム実装 OpenJDK に、複数の問題が発見されました。

CVE-2011-3377
openjdk-6 パッケージ収録の Iced Tea ブラウザプラグインは、ある
ドメイン名で、要求されるドメイン名と共通の接尾部を持つようなも
のに対して同一オリジンポリシーを適用していません。

CVE-2011-3563
Java サウンドコンポーネントで、配列境界が適切にチェックされて
いません。この欠陥は悪意を持った入力や信頼されていない Java ア
プリケーションまたはアプレットから悪用可能で、Java 仮想マシン
のクラッシュやメモリ内容の取得などがおこなえます。

CVE-2011-5035
OpenJDK 埋め込みのウェブサーバは要求パラメータ数が多すぎる場合
の保護を行っていないため、ハッシュ衝突によるサービス拒否攻撃が
可能です。

CVE-2012-0497
Java2D はネイティブコードのグラフィックレンダラにグラフィック
レンダリングオブジェクトを渡す前に適切なチェックを行っていない
ため、Java 仮想マシンのクラッシュや、Java サンドボックスの迂回
などが可能です

CVE-2012-0501
java.util.zip.ZipFile で使われている ZIP セントラルディレクト
リパーザが細工された ZIP ファイルによりネイティブコード内で無
限再帰呼び出しを起こすため、サービス拒否攻撃が可能です。

CVE-2012-0502
AWT KeyboardFocusManager クラスに欠陥があり、信頼されていない
Java アプレットがキーボードフォーカスを奪えるため、機密情報を
取得可能です。

CVE-2012-0503
java.util.TimeZone.setDefault() メソッドでセキュリティマネージ
ャ呼び出しが抜けているため、信頼されていない Java アプリケーシ
ョンまたはアプレットが新しい標準タイムゾーンを設定可能です。

CVE-2012-0505
Java シリアライゼーションコードがシリアライゼーション例外に参
照情報を漏洩するため、信頼されていない Java アプレットやアプリ
ケーションに機密オブジェクトが漏洩する可能性があります。

CVE-2012-0506
Java の CORBA 実装で、一部の Corba オブジェクトのレポジトリ識
別子 (_ids() メソッドを用いて取得できるもの) が適切に保護され
ていません。この欠陥は、変更できないはずのデータの変更に悪用可
能です。

CVE-2012-0507
AtomicReferenceArray クラス実装で、配列が Object[] タイプであ
るかどうかのチェックが適切に行われていません。悪意を持った
Java アプリケーションまたはアプレットからこの欠陥が悪用可能で、
Java 仮想マシンのクラッシュや、Java サンドボックスの制限の迂回
などがおこなえます。

安定版 (stable) ディストリビューション (squeeze) では、これらの問題は
バージョン 6b18-1.8.13-0+squeeze1 で修正されています。

テスト版 (wheezy) および不安定版 (unstable) ディストリビューションでは、
これらの問題はバージョン 6b24-1.11.1-1 で修正されています。

直ぐに openjdk-6 パッケージをアップグレードすることを勧めます。

Debian Security Advisories に関する説明、これらの更新をシステムに適用
する方法、FAQ などは http://www.debian.org/security/ を参照ください。

Mailing list: debian-security-announce@xxxxx
------>8------------>8------------>8------------>8------------>8-
--
Seiji Kaneko skaneko@xxxxx
---------------------------------------------------------

投稿者 xml-rpc : 2012年2月29日 20:43
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/108690
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。