java-1.6.0-openjdk-1.6.0.0-5.1.13.3.AXS4

エラータID: AXSA:2014-272:02

リリース日: 
2014/04/18 Friday - 15:52
題名: 
java-1.6.0-openjdk-1.6.0.0-5.1.13.3.AXS4
影響のあるチャネル: 
Asianux Server 4 for x86
Asianux Server 4 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- Oracle Java には,2D に関連する要因によって,リモートの攻撃者が機密性,整合性,可用性に影響を与える詳細不明の脆弱性があります。(CVE-2014-0429)

- Oracle Java には,ライブラリに関連する不明な要因によって,リモートの攻撃者が機密性,整合性,可用性に影響を与える詳細不明の脆弱性があります。(CVE-2014-0446)

- Oracle Java には,AWT に関連する要因によって,リモートの攻撃者が機密性,整合性,可用性に影響を与える詳細不明の脆弱性があります。
なお,CVE-2014-2412 とは異なる脆弱性です。(CVE-2014-0451)

- Oracle Java には,JAX-WS に関連する要因によって,リモートの攻撃者が機密性,整合性,可用性に影響を与える脆弱性があります。
なお、CVE-2014-0458 と CVE-2014-2423 とは異なる脆弱性です。(CVE-2014-0452)

- Oracle Java には,Security に関連する不明な要因によって,リモートの攻撃者が機密性,整合性に影響を与える詳細不明の脆弱性があります。(CVE-2014-0453)

- Oracle Java には,Security に関連する不明な要因によって,リモートの攻撃者が機密性,整合性,可用性に影響を与える詳細不明の脆弱性があります。(CVE-2014-0454)

- Oracle Java には,Hotspot に関連する不明な要因によって,リモートの攻撃者が機密性,整合性,可用性に影響を与える詳細不明の脆弱性があります。(CVE-2014-0456)

- Oracle Java SE にはライブラリに関連する不明な要因によって,リモートの攻撃者が機密性,整合性,可用性に影響を与える詳細不明の脆弱性があります。 (CVE-2014-0457)

- Oracle Java には JAX-WS に関連する要因によって,リモートの攻撃者が機密性,整合性,可用性に影響を与える詳細不明の脆弱性があります。
CVE-2014-0452,CVE-2014-2423 とは異なる脆弱性です。(CVE-2014-0458)

- Oracle Java には JNDI に関連する要因によって,リモートの攻撃者が機密性と整合性に影響を与える詳細不明の脆弱性があります。(CVE-2014-0460)

- Oracle Java にはライブラリに関連する要因によって,リモートの攻撃者が機密性,整合性,可用性に影響を与える詳細不明の脆弱性があります。(CVE-2014-0461)

- Oracle Java の unpack200 の unpack.cpp の unpacker::redirect_stdio 関数はログファイルを開くことができなかった場合,一時ファイルを安全に作成しておらず,/tmp/unpack.log 上でのシンボリックリンク攻撃によって,ローカルのユーザが任意のファイルを上書きできる脆弱性があります。(CVE-2014-1876)

- Oracle Java には,Hotspot に関連する不明な要因によって,リモートの攻撃者が機密性,整合性,可用性に影響を与える詳細不明の脆弱性があります。(CVE-2014-2397)

- Oracle Java には,Javadoc に関連する不明な要因によって,リモートの攻撃者が機密性,整合性,可用性に影響を与える詳細不明の脆弱性があります。(CVE-2014-2398)

- Oracle Java には,ライブラリに関連する不明な要因によって,リモートの攻撃者が機密性,整合性,可用性に影響を与える詳細不明の脆弱性があります。
なお,CVE-2014-0432 と CVE-2014-0455 とは異なる脆弱性です。(CVE-2014-2402)

- Oracle Java には,JAXP に関連する要因によって,リモートの攻撃者が機密性に影響を与える詳細不明の脆弱性があります。(CVE-2014-2403)

- Oracle Java には,AWT に関連する要因によって,リモートの攻撃者が機密性,整合性,可用性に影響を与える詳細不明の脆弱性があります。
なお,CVE-2014-0451 とは異なる脆弱性です。(CVE-2014-2412)

- Oracle Java には,ライブラリに関連する不明な要因によって,リモートの攻撃者が整合性に影響を与える詳細不明の脆弱性があります。(CVE-2014-2413)

- Oracle Java には,JAXB に関連する不明な要因によって,リモートの攻撃者が機密性,整合性,可用性に影響を与える詳細不明の脆弱性があります。(CVE-2014-2414)

- Oracle Java には,2D に関連する不明な要因によって,リモートの攻撃者が機密性,整合性,可用性に影響を与える詳細不明の脆弱性があります。(CVE-2014-2421)

- Oracle Java には,JAX-WS に関連する不明な要因によって,リモートの攻撃者が機密性,整合性,可用性に影響を与える詳細不明の脆弱性があります。
なお,CVE-2014-0452 と CVE-2014-0458 とは異なる脆弱性です。(CVE-2014-2423)

- Oracle Java には,Sound に関連する不明な要因によって,リモートの攻撃者が機密性,整合性,可用性に影響を与える詳細不明の脆弱性があります。(CVE-2014-2427)

[Bug Fix]
- jdk_version_info 変数の扱いに関連するリグレッションがあり,Java 仮想マシンに渡す前に適切に 0 にしておらず, java.lang.ref.Finalizer クラスでメモリをリークしてしまう問題を修正しました。

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2014-0429
Unspecified vulnerability in Oracle Java SE 5.0u61, 6u71, 7u51, and 8; JRockit R27.8.1 and R28.3.1; and Java SE Embedded 7u51 allows remote attackers to affect confidentiality, integrity, and availability via unknown vectors related to 2D.
CVE-2014-0446
Unspecified vulnerability in Oracle Java SE 5.0u61, 6u71, 7u51, and 8, and Java SE Embedded 7u51, allows remote attackers to affect confidentiality, integrity, and availability via unknown vectors related to Libraries.
CVE-2014-0451
Unspecified vulnerability in Oracle Java SE 5.0u61, 6u71, 7u51, and 8, and Java SE Embedded 7u51, allows remote attackers to affect confidentiality, integrity, and availability via vectors related to AWT, a different vulnerability than CVE-2014-2412.
CVE-2014-0452
Unspecified vulnerability in Oracle Java SE 6u71, 7u51, and 8, and Java SE Embedded 7u51, allows remote attackers to affect confidentiality, integrity, and availability via vectors related to JAX-WS, a different vulnerability than CVE-2014-0458 and CVE-2014-2423.
CVE-2014-0453
Unspecified vulnerability in Oracle Java SE 5.0u61, 6u71, 7u51, and 8; JRockit R27.8.1 and R28.3.1; and Java SE Embedded 7u51 allows remote attackers to affect confidentiality and integrity via unknown vectors related to Security.
CVE-2014-0456
Unspecified vulnerability in Oracle Java SE 6u71, 7u51, and 8, and Java SE Embedded 7u51, allows remote attackers to affect confidentiality, integrity, and availability via unknown vectors related to Hotspot.
CVE-2014-0457
Unspecified vulnerability in Oracle Java SE 5.0u61, SE 6u71, 7u51, and 8; JRockit R27.8.1 and R28.3.1; and Java SE Embedded 7u51 allows remote attackers to affect confidentiality, integrity, and availability via unknown vectors related to Libraries.
CVE-2014-0458
Unspecified vulnerability in Oracle Java SE 6u71, 7u51, and 8, and Java SE Embedded 7u51, allows remote attackers to affect confidentiality, integrity, and availability via vectors related to JAX-WS, a different vulnerability than CVE-2014-0452 and CVE-2014-2423.
CVE-2014-0460
Unspecified vulnerability in Oracle Java SE 5.0u61, 6u71, 7u51, and 8; JRockit R27.8.1 and R28.3.1; and Java SE Embedded 7u51 allows remote attackers to affect confidentiality and integrity via vectors related to JNDI.
CVE-2014-0461
Unspecified vulnerability in Oracle Java SE 6u71, 7u51, and 8, and Java SE Embedded 7u51, allows remote attackers to affect confidentiality, integrity, and availability via unknown vectors related to Libraries.
CVE-2014-1876
The unpacker::redirect_stdio function in unpack.cpp in unpack200 in OpenJDK 6, 7, and 8; Oracle Java SE 5.0u61, 6u71, 7u51, and 8; JRockit R27.8.1 and R28.3.1; and Java SE Embedded 7u51 does not securely create temporary files when a log file cannot be opened, which allows local users to overwrite arbitrary files via a symlink attack on /tmp/unpack.log.
CVE-2014-2397
Unspecified vulnerability in Oracle Java SE 7u51 and 8, and Java SE Embedded 7u51, allows remote attackers to affect confidentiality, integrity, and availability via unknown vectors related to Hotspot.
CVE-2014-2398
Unspecified vulnerability in Oracle Java SE 5.0u61, 6u71, 7u51, and 8; JavaFX 2.2.51; and JRockit R27.8.1 and R28.3.1 allows remote authenticated users to affect integrity via unknown vectors related to Javadoc.
CVE-2014-2403
Unspecified vulnerability in Oracle Java SE 6u71, 7u51, and 8, and Java SE Embedded 7u51, allows remote attackers to affect confidentiality via vectors related to JAXP.
CVE-2014-2412
Unspecified vulnerability in Oracle Java SE 5.0u61, 6u71, SE 7u51, and 8, and Java SE Embedded 7u51, allows remote attackers to affect confidentiality, integrity, and availability via vectors related to AWT, a different vulnerability than CVE-2014-0451.
CVE-2014-2414
Unspecified vulnerability in Oracle Java SE 6u71, 7u51, and 8, and Java SE Embedded 7u51, allows remote attackers to affect confidentiality, integrity, and availability via vectors related to JAXB.
CVE-2014-2421
Unspecified vulnerability in Oracle Java SE 5.0u61, 6u71, 7u51, and 8; JavaFX 2.2.51; and Java SE Embedded 7u51 allows remote attackers to affect confidentiality, integrity, and availability via unknown vectors related to 2D.
CVE-2014-2423
Unspecified vulnerability in Oracle Java SE 6u71, 7u51, and 8, and Java SE Embedded 7u51, allows remote attackers to affect confidentiality, integrity, and availability via vectors related to JAX-WS, a different vulnerability than CVE-2014-0452 and CVE-2014-0458.
CVE-2014-2427
Unspecified vulnerability in Oracle Java SE 5.0u61, 6u71, 7u51, and 8, and Java SE Embedded 7u51, allows remote attackers to affect confidentiality, integrity, and availability via unknown vectors related to Sound.


追加情報: 

N/A

ダウンロード: 

SRPMS
  1. java-1.6.0-openjdk-1.6.0.0-5.1.13.3.AXS4.src.rpm
    MD5: 4b40e4d00b50b119c27d94116cb0c6d6
    SHA-256: 654f76fd108c3b4bb23f7f02cec9fd090d52d5158a2ad95fe314c258ba62b617
    Size: 56.36 MB

Asianux Server 4 for x86
  1. java-1.6.0-openjdk-1.6.0.0-5.1.13.3.AXS4.i686.rpm
    MD5: 8308f82938b61540e22b14cba5673655
    SHA-256: d1c5f40d74156003435bf715bcbf8d6adbc756f9a1d6300466e5bcc466f10cc9
    Size: 41.92 MB
  2. java-1.6.0-openjdk-devel-1.6.0.0-5.1.13.3.AXS4.i686.rpm
    MD5: fa354a13ae5dc602ab0dc650ad924d4a
    SHA-256: e66ae23bd305a677cbab53eb76d7cdda9a24d2c625dae8f1e39a3882857604b7
    Size: 14.54 MB
  3. java-1.6.0-openjdk-javadoc-1.6.0.0-5.1.13.3.AXS4.i686.rpm
    MD5: 6bab5cc5647dcb42f4a4b795c1aa06ab
    SHA-256: 8ea2ac32993585dc29183b6a9cb85a95812865aaf57ce2f741167aae122c0999
    Size: 14.62 MB

Asianux Server 4 for x86_64
  1. java-1.6.0-openjdk-1.6.0.0-5.1.13.3.AXS4.x86_64.rpm
    MD5: 4109936381618614f4d8aedd1e42d938
    SHA-256: 0c8629460aa213d9e6fc40d057fdf941aa80544873f071d8516b6482b08e42e1
    Size: 41.09 MB
  2. java-1.6.0-openjdk-devel-1.6.0.0-5.1.13.3.AXS4.x86_64.rpm
    MD5: 5a241a3b9aa23b32a013bb8a9f625163
    SHA-256: 95cf2533f8ec17b3b1228df67ded63cf9caa7a9e2ffabc5a6526c700f9873a9a
    Size: 14.53 MB
  3. java-1.6.0-openjdk-javadoc-1.6.0.0-5.1.13.3.AXS4.x86_64.rpm
    MD5: bf3b549f598d9b013547f7ba6309eec5
    SHA-256: 3b899a9f4caaa0bfe999d9af4f17ce6d2dcec808c2fdcc2b8a566f427c2c7b09
    Size: 14.62 MB