java-1.8.0-openjdk-1.8.0.51-1.b16.el7

エラータID: AXSA:2015-225:01

リリース日: 
2015/07/25 Saturday - 16:59
題名: 
java-1.8.0-openjdk-1.8.0.51-1.b16.el7
影響のあるチャネル: 
Asianux Server 7 for x86_64
Severity: 
High
Description: 

The OpenJDK runtime environment.
以下項目について対処しました。

[Security Fix]
- Oracle Java SE には,リモートの攻撃者が機密性,完全性,可用性に影響を
及ぼす詳細不明な脆弱性があります。CVE-2015-4732 とは異なる脆弱性となり
ます。(CVE-2015-2590)

- Oracle Java SE には,JCE に関連する要因によって,リモートの攻撃者が機
密性に影響を与える脆弱性があります。(CVE-2015-2601)

- Oracle Java SE には,JMX に関連する要因によって,リモートの攻撃者が機
密性に影響を与える詳細不明な脆弱性があります。(CVE-2015-2621)

- Oracle Java には,JSSE に関連する要因によって,リモートの攻撃者が機密
性に影響を与える詳細不明な脆弱性があります。(CVE-2015-2625)

- Oracle Java SE には,CORBA に関連する要因によって,機密性,完全性,可
用性に影響を与える詳細不明な脆弱性があります。(CVE-2015-2628)

- Oracle Java SE には,2D に関連する不明な要因によって,リモートの攻撃者
が機密性に影響を与える詳細不明な脆弱性があります。(CVE-2015-2632)

- Oracle Java SE には,セキュリティに関連する不明な要因によって,リモート
の攻撃者が可用性に影響を与える詳細不明な脆弱性があります。(CVE-2015-2659)

- TLS プロトコルと SSL プロトコルで使用されている RC4 アルゴリズムでは,
初期化のフェーズで適切に鍵データとステートデータを結合していませんでした。
このことにより,時に Invariance Weakness に該当してしまう鍵に依拠するネッ
トワークトラフィックを傍受することにより、LSB (Least Significant Bit)
に関連するブルートフォース手法によるストリームの最初の方のバイト列に対する
平文回復攻撃を行いやすくする、通称 "Bar Mitzvah" 問題と呼ばれる脆弱性があ
ります。(CVE-2015-2808)

- TLSプロトコルの 1.2 およびそれ以前には、DHE_EXPORT 暗号スイートがサーバ
で有効でクライアントでは有効でない場合,DHE_EXPORT が選択されたことを適切
に伝えられませんでした。その結果,DHE_EXPORTをもつ ServerHello を DHE に
書き換え,そして,DHE_EXPORT をもつ ServerHello をDHEによって書き換える
中間者攻撃により,暗号ダウングレード攻撃を許す,所謂 "Logjam" 問題と呼ばれ
る脆弱性があります。(CVE-2015-4000)

- Oracle Java には,JMX に関連する要因によって,リモートの攻撃者が機密性,
完全性,可用性に影響を与える詳細不明の脆弱性があります。(CVE-2015-4731)

- Oracle Java SE には,ライブラリに関連する要因によって,リモートの攻撃者
が機密性,完全性,可用性に影響を与える詳細不明な脆弱性があります。
この脆弱性は CVE-2015-2590 とは異なる脆弱性です。(CVE-2015-4732)

- Oracle JavaSE には,リモートの攻撃者が機密性,完全性,可用性に影響を与
える詳細不明な脆弱性があります。(CVE-2015-4733)

- Oracle Java SE には,セキュリティに関連する要因によって,リモートの攻撃
者が機密性,完全性,可用性に影響を与える脆弱性があります。(CVE-2015-4748)

- Oracle Java SE には,JNDI に関連する要因によって,リモートの攻撃者が可
用性に影響を与える詳細不明の脆弱性があります。(CVE-2015-4749)

- Oracle Java SE には,2D に関連する要因によって,リモートの攻撃者が機密
性,完全性,可用性に影響を及ぼす詳細不明な脆弱性があります。(CVE-2015-4760)

現時点では CVE-2015-3149 の情報が公開されておりません。
CVE の情報が公開され次第情報をアップデートいたします。

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2015-2590
Unspecified vulnerability in Oracle Java SE 6u95, 7u80, and 8u45, and Java SE Embedded 7u75 and 8u33 allows remote attackers to affect confidentiality, integrity, and availability via unknown vectors related to Libraries, a different vulnerability than CVE-2015-4732.
CVE-2015-2601
Unspecified vulnerability in Oracle Java SE 6u95, 7u80, and 8u45, JRockit R28.3.6, and Java SE Embedded 7u75 and 8u33 allows remote attackers to affect confidentiality via vectors related to JCE.
CVE-2015-2621
Unspecified vulnerability in Oracle Java SE 6u95, 7u80, and 8u45, and Java SE Embedded 7u75 and 8u33, allows remote attackers to affect confidentiality via vectors related to JMX.
CVE-2015-2625
Unspecified vulnerability in Oracle Java SE 6u95, 7u80, and 8u45; JRockit R28.3.6; and Java SE Embedded 7u75 and 8u33 allows remote attackers to affect confidentiality via vectors related to JSSE.
CVE-2015-2628
Unspecified vulnerability in Oracle Java SE 6u95, 7u80, and 8u45, and Java SE Embedded 7u75 and 8u33 allows remote attackers to affect confidentiality, integrity, and availability via vectors related to CORBA.
CVE-2015-2632
Unspecified vulnerability in Oracle Java SE 6u95, 7u80, and 8u45 allows remote attackers to affect confidentiality via unknown vectors related to 2D.
CVE-2015-2659
Unspecified vulnerability in Oracle Java SE 8u45 and Java SE Embedded 8u33 allows remote attackers to affect availability via unknown vectors related to Security.
CVE-2015-2808
The RC4 algorithm, as used in the TLS protocol and SSL protocol, does not properly combine state data with key data during the initialization phase, which makes it easier for remote attackers to conduct plaintext-recovery attacks against the initial bytes of a stream by sniffing network traffic that occasionally relies on keys affected by the Invariance Weakness, and then using a brute-force approach involving LSB values, aka the "Bar Mitzvah" issue.
CVE-2015-3149
The Hotspot component in OpenJDK8 as packaged in Red Hat Enterprise Linux 6 and 7 allows local users to write to arbitrary files via a symlink attack.
CVE-2015-4000
The TLS protocol 1.2 and earlier, when a DHE_EXPORT ciphersuite is enabled on a server but not on a client, does not properly convey a DHE_EXPORT choice, which allows man-in-the-middle attackers to conduct cipher-downgrade attacks by rewriting a ClientHello with DHE replaced by DHE_EXPORT and then rewriting a ServerHello with DHE_EXPORT replaced by DHE, aka the "Logjam" issue.
CVE-2015-4731
Unspecified vulnerability in Oracle Java SE 6u95, 7u80, and 8u45; Java SE Embedded 7u75; and Java SE Embedded 8u33 allows remote attackers to affect confidentiality, integrity, and availability via vectors related to JMX.
CVE-2015-4732
Unspecified vulnerability in Oracle Java SE 6u95, 7u80, and 8u45, and Java SE Embedded 7u75 and 8u33 allows remote attackers to affect confidentiality, integrity, and availability via unknown vectors related to Libraries, a different vulnerability than CVE-2015-2590.
CVE-2015-4733
Unspecified vulnerability in Oracle Java SE 6u95, 7u80, and 8u45, and Java SE Embedded 7u75 and 8u33 allows remote attackers to affect confidentiality, integrity, and availability via vectors related to RMI.
CVE-2015-4748
Unspecified vulnerability in Oracle Java SE 6u95, 7u80, and 8u45; JRockit R28.3.6; and Java SE Embedded 7u75 and Embedded 8u33 allows remote attackers to affect confidentiality, integrity, and availability via unknown vectors related to Security.
CVE-2015-4749
Unspecified vulnerability in Oracle Java SE 6u95, 7u80, and 8u45; JRockit R28.3.6; and Java SE Embedded 7u75 and 8u33 allows remote attackers to affect availability via vectors related to JNDI.
CVE-2015-4760
Unspecified vulnerability in Oracle Java SE 6u95, 7u80, and 8u45 allows remote attackers to affect confidentiality, integrity, and availability via unknown vectors related to 2D.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. java-1.8.0-openjdk-1.8.0.51-1.b16.el7.src.rpm
    MD5: ccd8144a613ba5f90436b40344259ff0
    SHA-256: 8699e59ae4d1c7b570c853c8f142cf4aeaba2ae4f050d7d0a4b2ba9a03b4cf23
    Size: 58.56 MB

Asianux Server 7 for x86_64
  1. java-1.8.0-openjdk-1.8.0.51-1.b16.el7.x86_64.rpm
    MD5: bb4f9b563e7b86eb024f155f881fbd07
    SHA-256: 60c7e9c1af4dda514183586e72f2cedc8e7db4097194626db035153ec5b7393a
    Size: 212.51 kB
  2. java-1.8.0-openjdk-devel-1.8.0.51-1.b16.el7.x86_64.rpm
    MD5: 287f617e19decbdb2387a2b1da1cc521
    SHA-256: 90878896878eaed9ab02e43496e1acf20bd399d04530477dea444c33f6563ca2
    Size: 9.61 MB
  3. java-1.8.0-openjdk-headless-1.8.0.51-1.b16.el7.x86_64.rpm
    MD5: 714d8a0214781c3bc69ee94f6277747a
    SHA-256: e77de2fec52883c8306232222ccc8160eccb0d3196c4220ae28bf322dc4e17bc
    Size: 30.99 MB