JDK 1.6.0U13
エラータID: AXSA:2009-40:01
以下項目について対処しました。
[Security Fix]
- JRE および JDKには %temp% ディレクトリに任意のサイズの一時ファイルを作るFont.createFont 関数を利用することによって、リモートの攻撃者がサービス拒否 (ディスクの消費) を引き起こす脆弱性があります。(CVE-2006-2426)
- LittleCMS には、画像ファイルの処理に不備があるため、サービス運用妨害 (DoS) 状態となる脆弱性が存在します。(CVE-2009-0581)
- LittleCMS には、画像ファイルの処理に不備があるため、整数オーバーフローの脆弱性が存在します。(CVE-2009-0723)
- LittleCMS の ReadSetOfCurves 関数には、画像ファイルの処理に不備があるため、スタックベースのバッファオーバーフローの脆弱性が存在します。(CVE-2009-0733)
- lcmsの cmsxform.c には巧妙に作られたイメージによって、リモートの攻撃者がサービス拒否 (ヌルポインタデリファレンスやアプリケーションのクラッシュ) を引き起こす脆弱性があります。(CVE-2009-0793)
- Java SE Development Kit (JDK) および Java Runtime Environment (JRE) の LDAP サービスには、初期化に失敗した際に接続を閉じないため、サービス運用妨害 (DoS) 状態となる脆弱性が存在します。 (CVE-2009-1093)
- Java SE Development Kit (JDK) および Java Runtime Environment (JRE) の LDAP 実装には、任意のコードを実行される脆弱性が存在します。(CVE-2009-1094)
- Java SE Development Kit (JDK) および Java Runtime Environment (JRE) の unpack200 には、JAR ファイルの処理に不備があることにより、整数オーバフローの脆弱性が存在します。(CVE-2009-1095)
- Java SE Development Kit (JDK) および Java Runtime Environment (JRE) の unpack200 には、JAR ファイルの処理に不備があることにより、バッファオーバフローの脆弱性が存在します。(CVE-2009-1096)
- Java SE Development Kit (JDK) および Java Runtime Environment (JRE) には、PNG イメージや GIF イメージの処理に不備があるため、バッファオーバーフローの脆弱性が存在します。(CVE-2009-1097)
- Java SE Development Kit (JDK) および Java Runtime Environment (JRE) には、GIF イメージの処理に不備があるため、バッファオーバーフローの脆弱性が存在します。(CVE-2009-1098)
- Java SE Development Kit (JDK) および Java Runtime Environment (JRE) の lightweight HTTP サーバ実装には、サービス運用妨害 (DoS) 状態となる脆弱性が存在します。(CVE-2009-1101)
-Java SE Development Kit (JDK) および Java Runtime Environment (JRE) の仮想マシンには、ファイルにアクセスされる、または任意のコードを実行される脆弱性が存在します。(CVE-2009-1102)
一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/
1. Java SE Development Kit (JDK) 6 Update 13 を次のURLからダウンロードしてください。
http://java.sun.com/javase/downloads/index.jsp
なお、上記 URL では最新の JDK のみ配布されています。
新しいバージョンがリリースされた場合には、以下 URL より JDK 6 Update 13 をダウンロードしてください。
http://java.sun.com/products/archive/
Asianux Server 3 : jdk-6u13-linux-i586-rpm.bin
Asianux Server 3 for x86-64 : jdk-6u13-linux-x64-rpm.bin
2. RPM パッケージを次の手順でインストールしてください。
Asianux Server 3 :
# sh jdk-6u13-linux-i586-rpm.bin
Asianux Server 3 for x86_64:
# sh jdk-6u13-linux-x64-rpm.bin
Sun Java Runtime Environment (JRE) 1.5.0_6 and earlier, JDK 1.5.0_6 and earlier, and SDK 1.5.0_6 and earlier allows remote attackers to cause a denial of service (disk consumption) by using the Font.createFont function to create temporary files of arbitrary size in the %temp% directory.
Memory leak in LittleCMS (aka lcms or liblcms) before 1.18beta2, as used in Firefox 3.1beta, OpenJDK, and GIMP, allows context-dependent attackers to cause a denial of service (memory consumption and application crash) via a crafted image file.
Multiple integer overflows in LittleCMS (aka lcms or liblcms) before 1.18beta2, as used in Firefox 3.1beta, OpenJDK, and GIMP, allow context-dependent attackers to execute arbitrary code via a crafted image file that triggers a heap-based buffer overflow. NOTE: some of these details are obtained from third party information.
Multiple stack-based buffer overflows in the ReadSetOfCurves function in LittleCMS (aka lcms or liblcms) before 1.18beta2, as used in Firefox 3.1beta, OpenJDK, and GIMP, allow context-dependent attackers to execute arbitrary code via a crafted image file associated with a large integer value for the (1) input or (2) output channel, related to the ReadLUT_A2B and ReadLUT_B2A functions.
cmsxform.c in LittleCMS (aka lcms or liblcms) 1.18, as used in OpenJDK and other products, allows remote attackers to cause a denial of service (NULL pointer dereference and application crash) via a crafted image that triggers execution of incorrect code for "transformations of monochrome profiles."
LdapCtx in the LDAP service in Java SE Development Kit (JDK) and Java Runtime Environment (JRE) 5.0 Update 17 and earlier; 6 Update 12 and earlier; SDK and JRE 1.3.1_24 and earlier; and 1.4.2_19 and earlier does not close the connection when initialization fails, which allows remote attackers to cause a denial of service (LDAP service hang).
Unspecified vulnerability in the LDAP implementation in Java SE Development Kit (JDK) and Java Runtime Environment (JRE) 5.0 Update 17 and earlier; 6 Update 12 and earlier; SDK and JRE 1.3.1_24 and earlier; and 1.4.2_19 and earlier allows remote LDAP servers to execute arbitrary code via unknown vectors related to serialized data.
Integer overflow in unpack200 in Java SE Development Kit (JDK) and Java Runtime Environment (JRE) 5.0 Update 17 and earlier, and 6 Update 12 and earlier, allows remote attackers to access files or execute arbitrary code via a JAR file with crafted Pack200 headers.
Buffer overflow in unpack200 in Java SE Development Kit (JDK) and Java Runtime Environment (JRE) 5.0 Update 17 and earlier, and 6 Update 12 and earlier, allows remote attackers to access files or execute arbitrary code via a JAR file with crafted Pack200 headers.
Multiple buffer overflows in Java SE Development Kit (JDK) and Java Runtime Environment (JRE) 6 Update 12 and earlier allow remote attackers to access files or execute arbitrary code via (1) a crafted PNG image that triggers an integer overflow during memory allocation for display on the splash screen, aka CR 6804996; and (2) a crafted GIF image from which unspecified values are used in calculation of offsets, leading to object-pointer corruption, aka CR 6804997.
Buffer overflow in Java SE Development Kit (JDK) and Java Runtime Environment (JRE) 5.0 Update 17 and earlier; 6 Update 12 and earlier; 1.4.2_19 and earlier; and 1.3.1_24 and earlier allows remote attackers to access files or execute arbitrary code via a crafted GIF image, aka CR 6804998.
Unspecified vulnerability in the lightweight HTTP server implementation in Java SE Development Kit (JDK) and Java Runtime Environment (JRE) 6 Update 12 and earlier allows remote attackers to cause a denial of service (probably resource consumption) for a JAX-WS service endpoint via a connection without any data, which triggers a file descriptor "leak."
Unspecified vulnerability in the Virtual Machine in Java SE Development Kit (JDK) and Java Runtime Environment (JRE) 6 Update 12 and earlier allows remote attackers to access files and execute arbitrary code via unknown vectors related to "code generation."
N/A