java-1.6.0-openjdk-1.6.0.36-1.13.8.1.AXS4

エラータID: AXSA:2015-409:03

リリース日: 
2015/08/13 Thursday - 18:33
題名: 
java-1.6.0-openjdk-1.6.0.36-1.13.8.1.AXS4
影響のあるチャネル: 
Asianux Server 4 for x86_64
Asianux Server 4 for x86
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- Oracle Java には,Libraries によって,リモートの攻撃者が機密性, 完全性,可用性に影響を与える脆弱性があります。なお,CVE-2015-4732 とは異なる脆弱性です。(CVE-2015-2590)

- Oracle Java には,JCE に関連する要因によって,リモートの攻撃者が機密性に影響を与える詳細不明な脆弱性があります。(CVE-2015-2601)

- Oracle Java には,JSSE に関連する要因によって,リモートの攻撃者が機密性に影響を与える詳細不明な脆弱性があります。(CVE-2015-2625)

- Oracle Java には,CORBA に関連する要因によって,リモートの攻撃者が機密性,完全性,可用性に影響を与える詳細不明の脆弱性があります。(CVE-2015-2628)

- Java SE には,2D に関連する要因によって,リモートの攻撃者が機密性に
影響を与える脆弱性があります。(CVE-2015-2632)

- TLS プロトコルと SSL プロトコルで使用されている RC4 アルゴリズムでは,初期化のフェーズで適切に鍵データとステートデータを結合していませんでした。このことにより,時に Invariance Weakness に該当してしまう鍵に依拠するネットワークトラフィックを傍受することにより、LSB (Least Significant Bit) に関連するブルートフォース手法によるストリームの最初の方のバイト列に対する平文回復攻撃を行いやすくする、通称 "Bar Mitzvah" 問題と呼ばれる脆弱性があります。(CVE-2015-2808)

-TLS プロトコル 1.2 以前では,DHE_EXPORT 暗号スイートがサーバ側で有効であり,しかしクライアント側では有効になっていない場合,DHE_EXPORT の選択を適切に伝えていませんでした。DHE_EXPORT によって置き換えられた DHE を持つ ClientHello を書き換えることによって,それから DHE によって置き換えられた DHE_EXPORT を持つ ServerHello を書き換えることによって,中間者攻撃を行う攻撃者が暗号ダウングレード攻撃を行う脆弱性があります。(CVE-2015-4000)

- Oracle Java SE には,JMX に関連する要因によって,リモートの攻撃者が
機密性,完全性,可用性に影響を与える詳細不明の脆弱性があります。(CVE-2015-4731)

- Oracle Java SE には,Laibraries に関連する要因によって,リモートの
攻撃者が機密性,完全性,可用性に影響を与える詳細不明な脆弱性が存在します。(CVE-2015-4732)

- Oracle Java SE には,リモートの攻撃者が機密性,完全性,可用性に影響を与える詳細不明な脆弱性があります。(CVE-2015-4733)

- Oracle Java には,リモートの攻撃者が機密性,完全性,可用性に影響を
与える詳細不明な脆弱性があります。(CVE-2015-4748)

- Oracle Java SE には,JNDI に関連する要因によって,リモートの攻撃者が可用性に影響を与える詳細不明な脆弱性があります。(CVE-2015-4749)

- Oracle Java には,2D に関連する要因によって,リモートの攻撃者が機密性,完全性,可用性に影響を与える詳細不明な脆弱性があります。(CVE-2015-4760)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2015-2590
Unspecified vulnerability in Oracle Java SE 6u95, 7u80, and 8u45, and Java SE Embedded 7u75 and 8u33 allows remote attackers to affect confidentiality, integrity, and availability via unknown vectors related to Libraries, a different vulnerability than CVE-2015-4732.
CVE-2015-2601
Unspecified vulnerability in Oracle Java SE 6u95, 7u80, and 8u45, JRockit R28.3.6, and Java SE Embedded 7u75 and 8u33 allows remote attackers to affect confidentiality via vectors related to JCE.
CVE-2015-2621
Unspecified vulnerability in Oracle Java SE 6u95, 7u80, and 8u45, and Java SE Embedded 7u75 and 8u33, allows remote attackers to affect confidentiality via vectors related to JMX.
CVE-2015-2625
Unspecified vulnerability in Oracle Java SE 6u95, 7u80, and 8u45; JRockit R28.3.6; and Java SE Embedded 7u75 and 8u33 allows remote attackers to affect confidentiality via vectors related to JSSE.
CVE-2015-2628
Unspecified vulnerability in Oracle Java SE 6u95, 7u80, and 8u45, and Java SE Embedded 7u75 and 8u33 allows remote attackers to affect confidentiality, integrity, and availability via vectors related to CORBA.
CVE-2015-2632
Unspecified vulnerability in Oracle Java SE 6u95, 7u80, and 8u45 allows remote attackers to affect confidentiality via unknown vectors related to 2D.
CVE-2015-2808
The RC4 algorithm, as used in the TLS protocol and SSL protocol, does not properly combine state data with key data during the initialization phase, which makes it easier for remote attackers to conduct plaintext-recovery attacks against the initial bytes of a stream by sniffing network traffic that occasionally relies on keys affected by the Invariance Weakness, and then using a brute-force approach involving LSB values, aka the "Bar Mitzvah" issue.
CVE-2015-4000
The TLS protocol 1.2 and earlier, when a DHE_EXPORT ciphersuite is enabled on a server but not on a client, does not properly convey a DHE_EXPORT choice, which allows man-in-the-middle attackers to conduct cipher-downgrade attacks by rewriting a ClientHello with DHE replaced by DHE_EXPORT and then rewriting a ServerHello with DHE_EXPORT replaced by DHE, aka the "Logjam" issue.
CVE-2015-4731
Unspecified vulnerability in Oracle Java SE 6u95, 7u80, and 8u45; Java SE Embedded 7u75; and Java SE Embedded 8u33 allows remote attackers to affect confidentiality, integrity, and availability via vectors related to JMX.
CVE-2015-4732
Unspecified vulnerability in Oracle Java SE 6u95, 7u80, and 8u45, and Java SE Embedded 7u75 and 8u33 allows remote attackers to affect confidentiality, integrity, and availability via unknown vectors related to Libraries, a different vulnerability than CVE-2015-2590.
CVE-2015-4733
Unspecified vulnerability in Oracle Java SE 6u95, 7u80, and 8u45, and Java SE Embedded 7u75 and 8u33 allows remote attackers to affect confidentiality, integrity, and availability via vectors related to RMI.
CVE-2015-4748
Unspecified vulnerability in Oracle Java SE 6u95, 7u80, and 8u45; JRockit R28.3.6; and Java SE Embedded 7u75 and Embedded 8u33 allows remote attackers to affect confidentiality, integrity, and availability via unknown vectors related to Security.
CVE-2015-4749
Unspecified vulnerability in Oracle Java SE 6u95, 7u80, and 8u45; JRockit R28.3.6; and Java SE Embedded 7u75 and 8u33 allows remote attackers to affect availability via vectors related to JNDI.
CVE-2015-4760
Unspecified vulnerability in Oracle Java SE 6u95, 7u80, and 8u45 allows remote attackers to affect confidentiality, integrity, and availability via unknown vectors related to 2D.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. java-1.6.0-openjdk-1.6.0.36-1.13.8.1.AXS4.src.rpm
    MD5: d698606070f93e58688005beeb0e58e5
    SHA-256: dbb65ac7386a329319ceaae65421e3ebba56fc741fafb12ca38255ffb56f7a69
    Size: 36.12 MB

Asianux Server 4 for x86
  1. java-1.6.0-openjdk-1.6.0.36-1.13.8.1.AXS4.i686.rpm
    MD5: 14a30e9635431471dd1529d84fcbc6a0
    SHA-256: b11e31b19cc1db8135c3826b99353ebb2c6a44ae38a50d5344d5d150ccd4f411
    Size: 42.04 MB
  2. java-1.6.0-openjdk-devel-1.6.0.36-1.13.8.1.AXS4.i686.rpm
    MD5: b1daf6111b320ba8abbd440063a49ecb
    SHA-256: 659f81506287f8ab80d302227e8f43e6d49877d51d2315ad5749882e16abcdf8
    Size: 14.58 MB
  3. java-1.6.0-openjdk-javadoc-1.6.0.36-1.13.8.1.AXS4.i686.rpm
    MD5: 7c9b604a6fbc99c13f9b51f376b4ea09
    SHA-256: 64c2e3d4368aa1af90298cc25e5cc70f69233611e335998e10754ab3f137b538
    Size: 14.63 MB

Asianux Server 4 for x86_64
  1. java-1.6.0-openjdk-1.6.0.36-1.13.8.1.AXS4.x86_64.rpm
    MD5: 5da0622774da2725773bb7380e167f43
    SHA-256: da2bf04682add7eb13a7a2e1baea08c4fd6bd24461ea7fd679ac17313f81c82b
    Size: 41.21 MB
  2. java-1.6.0-openjdk-devel-1.6.0.36-1.13.8.1.AXS4.x86_64.rpm
    MD5: eb395866849303ec8dbeb9fb7a89835c
    SHA-256: 222f8b6d46e7e4aaad18b394618f58b80c0aa84d7ee4fe7c1ec7498c401cbcdd
    Size: 14.57 MB
  3. java-1.6.0-openjdk-javadoc-1.6.0.36-1.13.8.1.AXS4.x86_64.rpm
    MD5: 23ab035574bdeea35c384928157466d1
    SHA-256: a35044eada97443d2a6164ce4980423cdf594e8b384ebd3ec78a3b8b48eae4a2
    Size: 14.62 MB