java-1.7.0-openjdk-1.7.0.95-2.6.4.0.1.el7

エラータID: AXSA:2016-042:01

リリース日: 
2016/01/25 Monday - 10:54
題名: 
java-1.7.0-openjdk-1.7.0.95-2.6.4.0.1.el7
影響のあるチャネル: 
Asianux Server 7 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- Oracle Java SE には,Libraries に関連する要因によって,リモートの攻
撃者が機密性と完全性に影響を与える詳細不明な脆弱性があります。
(CVE-2015-4871)

- Mozilla Network Security Service (NSS) は,TLS 1.2 のハンドシェーク
プロトコルトラフィックで Server Key Exchange message の MD5 署名を拒
否しておらず,コリジョンを引き起こすことによって,中間者攻撃を行う
攻撃者がサーバになりすましやすくなる脆弱性があります。
(CVE-2015-7575)

- Java SE には、Networking に関連する不明な要因によって,リモートの
攻撃者が完全性に影響を与える詳細不明の脆弱性があります。(CVE-2016-0402)

- Java SE には,JMX に関連する要因によって,リモートの認証されたユーザが
機密性に影響を与える詳細不明な脆弱性があります。(CVE-2016-0448)

- Java SE には,JAXP に関連する要因によって,リモートの攻撃者が可用性
に影響を与える詳細不明な脆弱性があります。(CVE-2016-0466)

- Java SE には AWT に関連する要因によって,機密性,完全性,可用性に影
響を与える詳細不明な脆弱性があります。(CVE-2016-0483)

- Java SE には 2D に関連する不明な要因によって,リモートの攻撃者が機密
性,完全性,可用性に影響を与える脆弱性があります。(CVE-2016-0494)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2015-4871
Unspecified vulnerability in Oracle Java SE 7u85 allows remote attackers to affect confidentiality and integrity via unknown vectors related to Libraries.
CVE-2015-7575
Mozilla Network Security Services (NSS) before 3.20.2, as used in Mozilla Firefox before 43.0.2 and Firefox ESR 38.x before 38.5.2, does not reject MD5 signatures in Server Key Exchange messages in TLS 1.2 Handshake Protocol traffic, which makes it easier for man-in-the-middle attackers to spoof servers by triggering a collision.
CVE-2016-0402
Unspecified vulnerability in the Java SE and Java SE Embedded components in Oracle Java SE 6u105, 7u91, and 8u66 and Java SE Embedded 8u65 allows remote attackers to affect integrity via unknown vectors related to Networking.
CVE-2016-0448
Unspecified vulnerability in the Java SE and Java SE Embedded components in Oracle Java SE 6u105, 7u91, and 8u66, and Java SE Embedded 8u65 allows remote authenticated users to affect confidentiality via vectors related to JMX.
CVE-2016-0466
Unspecified vulnerability in the Java SE, Java SE Embedded, and JRockit components in Oracle Java SE 6u105, 7u91, and 8u66; Java SE Embedded 8u65; and JRockit R28.3.8 allows remote attackers to affect availability via vectors related to JAXP.
CVE-2016-0483
Unspecified vulnerability in Oracle Java SE 6u105, 7u91, and 8u66; Java SE Embedded 8u65; and JRockit R28.3.8 allows remote attackers to affect confidentiality, integrity, and availability via vectors related to AWT. NOTE: the previous information is from the January 2016 CPU. Oracle has not commented on third-party claims that this is a heap-based buffer overflow in the readImage function, which allows remote attackers to execute arbitrary code via crafted image data.
CVE-2016-0494
Unspecified vulnerability in the Java SE and Java SE Embedded components in Oracle Java SE 6u105, 7u91, and 8u66 and Java SE Embedded 8u65 allows remote attackers to affect confidentiality, integrity, and availability via unknown vectors related to 2D.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. java-1.7.0-openjdk-1.7.0.95-2.6.4.0.1.el7.src.rpm
    MD5: 16f6201bc17df3a3609897bdfcf274f7
    SHA-256: fe5d3684781b675d559147bc4b0543be7086808407c32aac8802d2db2ba6eee3
    Size: 38.91 MB

Asianux Server 7 for x86_64
  1. java-1.7.0-openjdk-1.7.0.95-2.6.4.0.1.el7.x86_64.rpm
    MD5: 431359e3e9dcee8ca8f1911f836685cd
    SHA-256: 856bf4d57b14b5b74242f91f7d8c1b502cc71a786b991a63f397816f0aba24a3
    Size: 206.42 kB
  2. java-1.7.0-openjdk-devel-1.7.0.95-2.6.4.0.1.el7.x86_64.rpm
    MD5: ca57f2fa817e10236259c0b6f1022274
    SHA-256: 32075041bc0ec31d6f578f442acf92f18bbe7b4c0376b2d0f0fa4b32de85dfff
    Size: 9.12 MB
  3. java-1.7.0-openjdk-headless-1.7.0.95-2.6.4.0.1.el7.x86_64.rpm
    MD5: ebe362100a945be0d9b672aae426ea4b
    SHA-256: 8b96b3c8dfa63d9eaf48fc7652f4a0c20938f1bafc2a68384bae8c525fc2da3e
    Size: 25.25 MB