java-1.7.0-openjdk-1.7.0.85-2.6.1.3.AXS4
エラータID: AXSA:2015-185:04
以下項目について対処しました。
[Security Fix]
- Oracle Java SE には,リモートの攻撃者が機密性,完全性,可用性に影響を及ぼす詳細不明な脆弱性があります。CVE-2015-4732 とは異なる脆弱性となります。(CVE-2015-2590)
- Oracle Java SE には,JCE に関連する要因によって,リモートの攻撃者が機密性に影響を与える脆弱性があります。(CVE-2015-2601)
- Oracle Java SE には,JMX に関連する要因によって,リモートの攻撃者が機密性に影響を与える詳細不明な脆弱性があります。(CVE-2015-2621)
- Oracle Java には,JSSE に関連する要因によって,リモートの攻撃者が機密性に影響を与える詳細不明な脆弱性があります。(CVE-2015-2625)
- Oracle Java SE には,CORBA に関連する要因によって,機密性,完全性,可用性に影響を与える詳細不明な脆弱性があります。(CVE-2015-2628)
- Oracle Java SE には,2D に関連する不明な要因によって,リモートの攻撃者が機密性に影響を与える詳細不明な脆弱性があります。(CVE-2015-2632)
- TLS プロトコルと SSL プロトコルで使用されている RC4 アルゴリズムでは,初期化のフェーズで適切に鍵データとステートデータを結合していませんでした。このことにより,時に Invariance Weakness に該当してしまう鍵に依拠するネットワークトラフィックを傍受することにより、LSB (Least Significant Bit) に関連するブルートフォース手法によるストリームの最初の方のバイト列に対する平文回復攻撃を行いやすくする、通称 "Bar Mitzvah" 問題と呼ばれる脆弱性があります。
- TLSプロトコルの 1.2 およびそれ以前には、DHE_EXPORT 暗号スイートがサーバで有効でクライアントでは有効でない場合,DHE_EXPORT が選択されたことを適切に伝えられませんでした。その結果,DHE_EXPORTをもつ ServerHello をDHEに書き換え,そして,DHE_EXPORT をもつ ServerHello をDHEによって書き換える中間者攻撃により,暗号ダウングレード攻撃を許す,所謂 "Logjam" 問題と呼ばれる脆弱性があります。
- Oracle Java には,JMX に関連する要因によって,リモートの攻撃者が機密性,完全性,可用性に影響を与える詳細不明の脆弱性があります。(CVE-2015-4731)
- Oracle Java SE には,ライブラリに関連する要因によって,リモートの攻撃者が機密性,完全性,可用性に影響を与える詳細不明な脆弱性があります。
この脆弱性は CVE-2015-2590 とは異なる脆弱性です。(CVE-2015-4732)
- Oracle JavaSE には,リモートの攻撃者が機密性,完全性,可用性に影響を与える詳細不明な脆弱性があります。(CVE-2015-4733)
- Oracle Java SE には,セキュリティに関連する要因によって,リモートの攻撃者が機密性,完全性,可用性に影響を与える脆弱性があります。(CVE-2015-4748)
- Oracle Java SE には,JNDI に関連する要因によって,リモートの攻撃者が可用性に影響を与える詳細不明の脆弱性があります。(CVE-2015-4749)
- Oracle Java SE には,2D に関連する要因によって,リモートの攻撃者が機密性,完全性,可用性に影響を及ぼす詳細不明な脆弱性があります。(CVE-2015-4760)
一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/
パッケージをアップデートしてください。
Unspecified vulnerability in Oracle Java SE 6u95, 7u80, and 8u45, and Java SE Embedded 7u75 and 8u33 allows remote attackers to affect confidentiality, integrity, and availability via unknown vectors related to Libraries, a different vulnerability than CVE-2015-4732.
Unspecified vulnerability in Oracle Java SE 6u95, 7u80, and 8u45, JRockit R28.3.6, and Java SE Embedded 7u75 and 8u33 allows remote attackers to affect confidentiality via vectors related to JCE.
Unspecified vulnerability in Oracle Java SE 6u95, 7u80, and 8u45, and Java SE Embedded 7u75 and 8u33, allows remote attackers to affect confidentiality via vectors related to JMX.
Unspecified vulnerability in Oracle Java SE 6u95, 7u80, and 8u45; JRockit R28.3.6; and Java SE Embedded 7u75 and 8u33 allows remote attackers to affect confidentiality via vectors related to JSSE.
Unspecified vulnerability in Oracle Java SE 6u95, 7u80, and 8u45, and Java SE Embedded 7u75 and 8u33 allows remote attackers to affect confidentiality, integrity, and availability via vectors related to CORBA.
Unspecified vulnerability in Oracle Java SE 6u95, 7u80, and 8u45 allows remote attackers to affect confidentiality via unknown vectors related to 2D.
The RC4 algorithm, as used in the TLS protocol and SSL protocol, does not properly combine state data with key data during the initialization phase, which makes it easier for remote attackers to conduct plaintext-recovery attacks against the initial bytes of a stream by sniffing network traffic that occasionally relies on keys affected by the Invariance Weakness, and then using a brute-force approach involving LSB values, aka the "Bar Mitzvah" issue.
The TLS protocol 1.2 and earlier, when a DHE_EXPORT ciphersuite is enabled on a server but not on a client, does not properly convey a DHE_EXPORT choice, which allows man-in-the-middle attackers to conduct cipher-downgrade attacks by rewriting a ClientHello with DHE replaced by DHE_EXPORT and then rewriting a ServerHello with DHE_EXPORT replaced by DHE, aka the "Logjam" issue.
Unspecified vulnerability in Oracle Java SE 6u95, 7u80, and 8u45; Java SE Embedded 7u75; and Java SE Embedded 8u33 allows remote attackers to affect confidentiality, integrity, and availability via vectors related to JMX.
Unspecified vulnerability in Oracle Java SE 6u95, 7u80, and 8u45, and Java SE Embedded 7u75 and 8u33 allows remote attackers to affect confidentiality, integrity, and availability via unknown vectors related to Libraries, a different vulnerability than CVE-2015-2590.
Unspecified vulnerability in Oracle Java SE 6u95, 7u80, and 8u45, and Java SE Embedded 7u75 and 8u33 allows remote attackers to affect confidentiality, integrity, and availability via vectors related to RMI.
Unspecified vulnerability in Oracle Java SE 6u95, 7u80, and 8u45; JRockit R28.3.6; and Java SE Embedded 7u75 and Embedded 8u33 allows remote attackers to affect confidentiality, integrity, and availability via unknown vectors related to Security.
Unspecified vulnerability in Oracle Java SE 6u95, 7u80, and 8u45; JRockit R28.3.6; and Java SE Embedded 7u75 and 8u33 allows remote attackers to affect availability via vectors related to JNDI.
Unspecified vulnerability in Oracle Java SE 6u95, 7u80, and 8u45 allows remote attackers to affect confidentiality, integrity, and availability via unknown vectors related to 2D.
N/A
SRPMS
- java-1.7.0-openjdk-1.7.0.85-2.6.1.3.AXS4.src.rpm
MD5: ff6fedc640aba0e7207433327e5393fa
SHA-256: 4cbbf862e25e1d58665eb9a8ea42e57133ffdc58b167e038698b5fa9d4927981
Size: 39.22 MB
Asianux Server 4 for x86
- java-1.7.0-openjdk-1.7.0.85-2.6.1.3.AXS4.i686.rpm
MD5: ff8387d065f816f1fe126753dbeac1d3
SHA-256: 3289eb496f80ee78dd4b0e27c79a5240e46c4b85fe8d705da36cdf7dc306617b
Size: 27.07 MB - java-1.7.0-openjdk-devel-1.7.0.85-2.6.1.3.AXS4.i686.rpm
MD5: b8513653711c3a343a36ae8e12d408df
SHA-256: ad37a64ad6150ef02a736ce0a78fb497219b40eea199ee8d842e209dd3d24a21
Size: 9.45 MB
Asianux Server 4 for x86_64
- java-1.7.0-openjdk-1.7.0.85-2.6.1.3.AXS4.x86_64.rpm
MD5: 19bbb8648c781bebbb458e3826d9ab8f
SHA-256: c6e98cf227119112c933a3c7f5de9f96c04f8e8a00b8c2525b6fe1828ab0aa69
Size: 25.86 MB - java-1.7.0-openjdk-devel-1.7.0.85-2.6.1.3.AXS4.x86_64.rpm
MD5: b9da637afdf62dd4a7d4472d37fafc67
SHA-256: 53d26fc7f92e212366d0a60324cab4d888050c0eafbe403c3b0f0d725344b453
Size: 9.45 MB
English