java-1.6.0-openjdk-1.6.0.0-1.42.1.10.4.AXS4

エラータID: AXSA:2012-13:01

リリース日: 
2012/01/18 Wednesday - 12:14
題名: 
java-1.6.0-openjdk-1.6.0.0-1.42.1.10.4.AXS4
影響のあるチャネル: 
Asianux Server 4 for x86_64
Asianux Server 4 for x86
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- SSL プロトコルと TLS プロトコルが CBC モードで動作する際、初期化ベクトル (IV) の決定方法に問題があり、選択平文攻撃を受ける脆弱性が存在します。なお、本脆弱性を使用した攻撃方法が公開されています。 (CVE-2011-3389)
- Oracle Java SE の Java Runtime Environment (JRE) コンポーネントには、Deserialization に関する処理に不備があるため、機密性、完全性、可用性に影響のある脆弱性が存在します。(CVE-2011-3521)
- Oracle Java SE の Java Runtime Environment (JRE) コンポーネントには、Scripting に関する処理に不備があるため、機密性、完全性、可用性に影響のある脆弱性が存在します。 (CVE-2011-3544)
- Oracle Java SE の Java Runtime Environment (JRE) コンポーネントには、Networking に関する処理に不備があるため、機密性に影響のある脆弱性が存在します。(CVE-2011-3547)
- Oracle Java SE の Java Runtime Environment (JRE) コンポーネントには、AWT に関する処理に不備があるため、機密性、完全性、可用性に影響のある脆弱性が存在します。 (CVE-2011-3548)
- Oracle Java SE の Java Runtime Environment (JRE) コンポーネントには、2D に関する処理に不備があるため、機密性、完全性、可用性に影響のある脆弱性が存在します。(CVE-2011-3551)
- Oracle Java SE の Java Runtime Environment (JRE) コンポーネントには、Networking に関する処理に不備があるため、完全性に影響のある脆弱性が存在します。 (CVE-2011-3552)
- Oracle Java SE の Java Runtime Environment (JRE) コンポーネントには、JAXWS に関する処理に不備があるため、機密性に影響のある脆弱性が存在します。(CVE-2011-3553)
- Oracle Java SE の Java Runtime Environment (JRE) コンポーネントには、機密性、完全性、可用性に影響のある脆弱性が存在します。(CVE-2011-3554)
- Oracle Java SE の Java Runtime Environment (JRE) コンポーネントには、RMI に関する処理に不備があるため、機密性、完全性、可用性に影響のある脆弱性が存在します。 (CVE-2011-3556)
- Oracle Java SE の Java Runtime Environment (JRE) コンポーネントには、RMI に関する処理に不備があるため、機密性、完全性、可用性に影響のある脆弱性が存在します。(CVE-2011-3557)
- Oracle Java SE の Java Runtime Environment (JRE) コンポーネントには、HotSpot に関する処理に不備があるため、機密性に影響のある脆弱性が存在します。(CVE-2011-3558)
- Oracle Java SE の Java Runtime Environment (JRE) コンポーネントには、JSSE に関する処理に不備があるため、機密性および完全性に影響のある脆弱性が存在します。(CVE-2011-3560)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2011-3389
The SSL protocol, as used in certain configurations in Microsoft Windows and Microsoft Internet Explorer, Mozilla Firefox, Google Chrome, Opera, and other products, encrypts data by using CBC mode with chained initialization vectors, which allows man-in-the-middle attackers to obtain plaintext HTTP headers via a blockwise chosen-boundary attack (BCBA) on an HTTPS session, in conjunction with JavaScript code that uses (1) the HTML5 WebSocket API, (2) the Java URLConnection API, or (3) the Silverlight WebClient API, aka a "BEAST" attack.
CVE-2011-3521
Unspecified vulnerability in the Java Runtime Environment component in Oracle Java SE JDK and JRE, 7, 6 Update 27 and earlier, and 5.0 Update 31 and earlier allows remote untrusted Java Web Start applications and untrusted Java applets to affect confidentiality, integrity, and availability via unknown vectors related to Deserialization.
CVE-2011-3544
Unspecified vulnerability in the Java Runtime Environment component in Oracle Java SE JDK and JRE 7 and 6 Update 27 and earlier allows remote untrusted Java Web Start applications and untrusted Java applets to affect confidentiality, integrity, and availability via unknown vectors related to Scripting.
CVE-2011-3547
Unspecified vulnerability in the Java Runtime Environment component in Oracle Java SE JDK and JRE 7, 6 Update 27 and earlier, 5.0 Update 31 and earlier, and 1.4.2_33 and earlier allows remote untrusted Java Web Start applications and untrusted Java applets to affect confidentiality via unknown vectors related to Networking.
CVE-2011-3548
Unspecified vulnerability in the Java Runtime Environment component in Oracle Java SE JDK and JRE 7, 6 Update 27 and earlier, 5.0 Update 31 and earlier, and 1.4.2_33 and earlier allows remote untrusted Java Web Start applications and untrusted Java applets to affect confidentiality, integrity, and availability, related to AWT.
CVE-2011-3551
Unspecified vulnerability in the Java Runtime Environment component in Oracle Java SE JDK and JRE 7, 6 Update 27 and earlier, and JRockit R28.1.4 and earlier allows remote attackers to affect confidentiality, integrity, and availability via unknown vectors related to 2D.
CVE-2011-3552
Unspecified vulnerability in the Java Runtime Environment component in Oracle Java SE JDK and JRE 7, 6 Update 27 and earlier, 5.0 Update 31 and earlier, and 1.4.2_33 and earlier allows remote attackers to affect integrity via unknown vectors related to Networking.
CVE-2011-3553
Unspecified vulnerability in the Java Runtime Environment component in Oracle Java SE JDK and JRE 7, 6 Update 27 and earlier, and JRockit R28.1.4 and earlier allows remote authenticated users to affect confidentiality, related to JAXWS.
CVE-2011-3554
Unspecified vulnerability in the Java Runtime Environment component in Oracle Java SE JDK and JRE 7, 6 Update 27 and earlier, 5.0 Update 31 and earlier allows remote untrusted Java Web Start applications and untrusted Java applets to affect confidentiality, integrity, and availability via unknown vectors.
CVE-2011-3556
Unspecified vulnerability in the Java Runtime Environment component in Oracle Java SE JDK and JRE 7, 6 Update 27 and earlier, 5.0 Update 31 and earlier, 1.4.2_33 and earlier, and JRockit R28.1.4 and earlier allows remote attackers to affect confidentiality, integrity, and availability, related to RMI, a different vulnerability than CVE-2011-3557.
CVE-2011-3557
Unspecified vulnerability in the Java Runtime Environment component in Oracle Java SE JDK and JRE 7, 6 Update 27 and earlier, 5.0 Update 31 and earlier, 1.4.2_33 and earlier, and JRockit R28.1.4 and earlier allows remote attackers to affect confidentiality, integrity, and availability, related to RMI, a different vulnerability than CVE-2011-3556.
CVE-2011-3558
Unspecified vulnerability in the Java Runtime Environment component in Oracle Java SE JDK and JRE 7, 6 Update 27 and earlier allows remote untrusted Java Web Start applications and untrusted Java applets to affect confidentiality via unknown vectors related to HotSpot.
CVE-2011-3560
Unspecified vulnerability in the Java Runtime Environment component in Oracle Java SE JDK and JRE 7, 6 Update 27 and earlier, 5.0 Update 31 and earlier, and 1.4.2_33 and earlier allows remote untrusted Java Web Start applications and untrusted Java applets to affect confidentiality and integrity, related to JSSE.


追加情報: 

N/A

ダウンロード: 

SRPMS
  1. java-1.6.0-openjdk-1.6.0.0-1.42.1.10.4.AXS4.src.rpm
    MD5: 13536b0d27e8191bcd9cb384a36b2b65
    SHA-256: efac048b781cc2d19a068b07e296a3ac770419842a3b1d2d2a7a88ddaaf71e95
    Size: 69.47 MB

Asianux Server 4 for x86
  1. java-1.6.0-openjdk-1.6.0.0-1.42.1.10.4.AXS4.i686.rpm
    MD5: 537d1a0ad7429bc3c8c306f848c9cb4e
    SHA-256: f8545a18cc29dfdc7dba4a6d46b434b45b984e520bfa88ed069151931317369c
    Size: 25.98 MB
  2. java-1.6.0-openjdk-devel-1.6.0.0-1.42.1.10.4.AXS4.i686.rpm
    MD5: 6b2b1134a8f459f368fdb25f8bb09c2f
    SHA-256: cef711fc612d81f8031d5a083a26160f0eb484a799756a15752a9ad0eb19a4ee
    Size: 8.54 MB
  3. java-1.6.0-openjdk-javadoc-1.6.0.0-1.42.1.10.4.AXS4.i686.rpm
    MD5: 3be4e6c8ef388d708e49f3fd4129203f
    SHA-256: da5931394532ff834d271661555ba6491d1a6e83d3c6e96b34b3bd70446ac7c2
    Size: 14.38 MB

Asianux Server 4 for x86_64
  1. java-1.6.0-openjdk-1.6.0.0-1.42.1.10.4.AXS4.x86_64.rpm
    MD5: d02c5a0772b883b1d690f60d4dfc64a4
    SHA-256: 1eedd3403a1aaa6257fdf4268c9638b37ed941cb4b34a472639e7de4a4cc33d8
    Size: 25.01 MB
  2. java-1.6.0-openjdk-devel-1.6.0.0-1.42.1.10.4.AXS4.x86_64.rpm
    MD5: d33f549b3823f4b94fd08a7254b0e46a
    SHA-256: f7a3cc99f7937ebcffa31779971d74f6fa0ee39698869a8edc0aba7f294ac954
    Size: 8.52 MB
  3. java-1.6.0-openjdk-javadoc-1.6.0.0-1.42.1.10.4.AXS4.x86_64.rpm
    MD5: 13841da2bffe04cbcccd54b9b7af29b4
    SHA-256: d108c8a599f841e2cc7e20d4d704b9946a3f480b4517d7a502cfd828261c7350
    Size: 14.38 MB