Összefoglaló
Számos sérülékenységet fedeztek fel az OpenJDK JRE szoftverében.
Leírás
Az alábbi sérülékenységeket javították az szoftver fejlesztői:
- CVE-2015-2590, CVE-2015-2628, CVE-2015-4731,CVE-2015-4732, CVE-2015-4733, CVE-2015-4760, CVE-2015-4748: szolgáltatásmegtagadásos sérülékenységek.
- CVE-2015-2601, CVE-2015-2808, CVE-2015-4000,CVE-2015-2625, CVE-2015-2613: az OpenJDK JRE kriptográfiai moduljának sérülékenysége. Kihasználása a hálózati adatok kiszivárgásához vezethet.
- CVE-2015-2621, CVE-2015-2632: több, információszivárgást előidéző sérülékenység (nem meghatározott támadási vektorok).
- CVE-2015-4749: az OpenJDK JRE DNS kezelésének hibája
A frissítések kikapcsolják az RC4 TLS/SSL-t, módosítják az OpenJDK viselkedését úgy, hogy ne fogadjon el 768 bitesnél rövidebb DH kulcsokat.
Megoldás
Telepítse a javítócsomagokat:
icedtea-6-jre-cacao 6b36-1.13.8-0ubuntu1~12.04
icedtea-6-jre-jamvm 6b36-1.13.8-0ubuntu1~12.04
openjdk-6-jdk 6b36-1.13.8-0ubuntu1~12.04
openjdk-6-source 6b36-1.13.8-0ubuntu1~12.04
openjdk-6-jre 6b36-1.13.8-0ubuntu1~12.04
openjdk-6-jre-headless 6b36-1.13.8-0ubuntu1~12.04
openjdk-6-jre-zero 6b36-1.13.8-0ubuntu1~12.04
openjdk-6-jre-lib 6b36-1.13.8-0ubuntu1~12.04
Támadás típusa
Deny of service (Szolgáltatás megtagadás)Information disclosure (Információ/adat szivárgás)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
CVE-2015-2590 - NVD CVE-2015-2590
CVE-2015-2601 - NVD CVE-2015-2601
CVE-2015-2621 - NVD CVE-2015-2621
CVE-2015-2625 - NVD CVE-2015-2625
CVE-2015-2628 - NVD CVE-2015-2628
CVE-2015-2632 - NVD CVE-2015-2632
CVE-2015-2808 - NVD CVE-2015-2808
CVE-2015-4000 - NVD CVE-2015-4000
CVE-2015-4731 - NVD CVE-2015-4731
CVE-2015-4732 - NVD CVE-2015-4732
CVE-2015-4733 - NVD CVE-2015-4733
CVE-2015-4748 - NVD CVE-2015-4748
CVE-2015-4749 - NVD CVE-2015-4749
CVE-2015-4760 - NVD CVE-2015-4760
Egyéb referencia: www.ubuntu.com