安全漏洞

安全漏洞补丁公告

当前位置  >  首页  >  服务支持  >  安全漏洞  >  安全漏洞补丁公告

公告ID(KYSA-202104-1181

公告ID:KYSA-202104-1181 公告摘要:java-1.6.0-openjdk安全漏洞 等级:Critical 发布日期:2021-04-08

详细介绍

1.修复的CVE ·CVE-2014-3566 描述:OpenSSL是Openssl团队的一个开源的能够实现安全套接层(SSLv2/v3)和安全传输层(TLSv1)协议的通用加密库。该产品支持多种加密算法,包括对称密码、哈希算法、安全散列算法等。OpenSSL 1.0.1i及之前版本中使用的SSL protocol 3.0版本中存在加密问题漏洞,该漏洞源于程序使用非确定性的CBC填充。攻击者可借助padding-oracle攻击利用该漏洞实施中间人攻击,获取明文数据。 ·CVE-2016-0402 描述:Oracle Java SE和Oracle Java SE Embedded都是美国甲骨文(Oracle)公司的产品。Oracle Java SE是一款用于开发和部署桌面、服务器以及嵌入设备和实时环境中的Java应用程序。Oracle Java SE Embedded是一款针对嵌入式系统的、可移植的应用程序的Java平台。Oracle Java SE和Java SE Embedded的Networking子组件中存在安全漏洞。远程攻击者可利用该漏洞更新、插入或删除数据,影响数据的完整性。以下产品及版本受到影响:Oracle Java SE 6u105版本,7u91版本,8u66版本,Java SE Embedded 8u65版本。 ·CVE-2016-0448 描述:Oracle Java SE和Oracle Java SE Embedded都是美国甲骨文(Oracle)公司的产品。Oracle Java SE是一款用于开发和部署桌面、服务器以及嵌入设备和实时环境中的Java应用程序。Oracle Java SE Embedded是一款针对嵌入式系统的、可移植的应用程序的Java平台。Oracle Java SE和Java SE Embedded的JMX子组件中存在安全漏洞。远程攻击者可利用该漏洞读取数据,影响数据的保密性。以下产品及版本受到影响:Oracle Java SE 6u105版本,7u91版本,8u66版本,Java SE Embedded 8u65版本。 ·CVE-2016-0466 描述:Oracle Java SE等都是美国甲骨文(Oracle)公司的产品。Oracle Java SE是一款用于开发和部署桌面、服务器以及嵌入设备和实时环境中的Java应用程序。Oracle Java SE Embedded是一款针对嵌入式系统的、可移植的应用程序的Java平台。Oracle Jrockit是一款内置于Oracle融合中间件中的Java虚拟机。Oracle Java SE、JRockit和Java SE Embedded的JAXP子组件存在安全漏洞。远程攻击者可利用该漏洞造成拒绝服务,影响数据的可用性。以下产品及版本受到影响:Oracle Java SE 6u105版本,7u91版本,8u66版本,Java SE Embedded 8u65版本,JRockit R28.3.8版本。 ·CVE-2016-0483 描述:Oracle Java SE等都是美国甲骨文(Oracle)公司的产品。Oracle Java SE是一款用于开发和部署桌面、服务器以及嵌入设备和实时环境中的Java应用程序。Oracle Java SE Embedded是一款针对嵌入式系统的、可移植的应用程序的Java平台。Oracle Jrockit是一款内置于Oracle融合中间件中的Java虚拟机。Oracle Java SE、JRockit和Java SE Embedded的AWT子组件存在安全漏洞。远程攻击者可利用该漏洞控制组件,执行任意代码,影响数据的保密性,完整性及可用性。以下产品及版本受到影响:Oracle Java SE 6u105版本,7u91版本,8u66版本,Java SE Embedded 8u65版本,JRockit R28.3.8版本。 ·CVE-2016-0494 描述:Oracle Java SE和Oracle Java SE Embedded都是美国甲骨文(Oracle)公司的产品。Oracle Java SE是一款用于开发和部署桌面、服务器以及嵌入设备和实时环境中的Java应用程序。Oracle Java SE Embedded是一款针对嵌入式系统的、可移植的应用程序的Java平台。Oracle Java SE和Java SE Embedded的2D子组件存在安全漏洞。远程攻击者可利用该漏洞控制组件,执行任意代码,影响数据的保密性,完整性及可用性。以下版本受到影响:Oracle Java SE 6u105版本,7u91版本,8u66版本,Java SE Embedded 8u65版本。 ·CVE-2016-0686 描述:Oracle Java SE 6u113、7u99和8u77以及Java SE Embedded 8u77中存在未明漏洞,远程攻击者可借助与序列化相关的向量影响机密性、完整性和可用性。 ·CVE-2016-0687 描述:Oracle Java SE 6u113、7u99和8u77以及Java SE Embedded 8u77中存在未明漏洞,远程攻击者可借助与热点子组件相关的向量影响机密性、完整性和可用性。 ·CVE-2016-0695 描述:发现OpenJDK中的安全组件在生成DSA签名时未能检查摘要算法的强度。使用弱于密钥强度的摘要可能会导致生成比预期弱的签名。 ·CVE-2016-3425 描述:我们发现OpenJDK中的JAXP组件未能正确处理作为XML属性值一部分使用的Unicode代理项对。特别构建的XML输入可能会导致Java应用程序在解析时使用过多的内存。 ·CVE-2016-3427 描述:Oracle Java SE等都是美国甲骨文(Oracle)公司的产品。Oracle Java SE是一款用于开发和部署桌面、服务器以及嵌入设备和实时环境中的Java应用程序。Oracle Java SE Embedded是一款针对嵌入式系统的、可移植的应用程序的Java平台。Oracle Jrockit是一款内置于Oracle融合中间件中的Java虚拟机。Oracle Java SE、Java SE Embedded和JRockit中的JMX子组件存在安全漏洞。远程攻击者可利用该漏洞控制组件,影响数据的保密性,完整性及可用性。以下版本受到影响:Oracle Java SE 6u113版本,7u99版本,8u77版本,Java SE Embedded 8u77版本,Jrockit R28.3.9版本。 ·CVE-2016-3458 描述:Oracle Java SE 6u115、7u101和8u92;以及Java SE Embedded 8u91中存在未明漏洞,远程攻击者可借助与CORBA相关的向量影响完整性。 ·CVE-2016-3500 描述:Oracle Java SE 6u115、7u101和8u92;Java SE Embedded 8u91;和JRockit R28.3.10中的未指明漏洞允许远程攻击者通过与JAXP相关的向量来影响可用性,这是一个与CVE-2016-3508不同的漏洞。 ·CVE-2016-3508 描述:Oracle Java SE 6u115、7u101和8u92;Java SE Embedded 8u91;和JRockit R28.3.10中的未指明漏洞允许远程攻击者通过与JAXP相关的向量来影响可用性,这是一个与CVE-2016-3500不同的漏洞。 ·CVE-2016-3550 描述:Oracle Java SE 6u115、7u101和8u92以及Java SE Embedded 8u91中存在未明漏洞,远程攻击者可借助与热点相关的向量影响机密性。 ·CVE-2016-3606 描述:Oracle Java SE 7u101和8u92以及Java SE Embedded 8u91中存在未明漏洞,远程攻击者可借助与热点相关的向量影响机密性、完整性和可用性。 ·CVE-2016-5542 描述:我们发现OpenJDK的Libraries组件没有限制用于JAR完整性验证的算法集。此漏洞允许攻击者修改使用弱签名密钥或哈希算法的JAR文件的内容。 ·CVE-2016-5554 描述:在OpenJDK的JMX组件处理类加载器的方式中发现了一个缺陷。不受信任的Java应用程序或小程序可以利用此缺陷绕过某些Java沙盒限制。 ·CVE-2016-5573 描述:我们发现OpenJDK的热点组件没有正确检查接收到的Java调试线协议(JDWP)包。如果攻击者能够使受害者的浏览器向调试应用程序的JDWP端口发送HTTP请求,则攻击者可能会利用此漏洞向运行调试的Java程序发送调试命令。 ·CVE-2016-5582 描述:我们发现OpenJDK的热点组件没有正确检查系统阵列复制()在某些情况下起作用。不受信任的Java应用程序或小程序可以利用此漏洞破坏虚拟机的内存,并完全绕过Java沙盒限制。 ·CVE-2016-5597 描述:在OpenJDK的网络组件处理HTTP代理身份验证的方式中发现了一个缺陷。如果代理请求身份验证,Java应用程序可能会通过纯文本网络连接到HTTP代理来公开HTTPS服务器身份验证凭据。 2.受影响的软件包 ·中标麒麟高级服务器操作系统 V7 ·x86_64架构: java-1.6.0-openjdk、java-1.6.0-openjdk-demo、java-1.6.0-openjdk-devel、java-1.6.0-openjdk-javadoc、java-1.6.0-openjdk-src ·银河麒麟高级服务器操作系统 V10 ·x86_64架构: java-1.6.0-openjdk、java-1.6.0-openjdk-demo、java-1.6.0-openjdk-devel、java-1.6.0-openjdk-javadoc、java-1.6.0-openjdk-src 3.软件包修复版本 ·中标麒麟高级服务器操作系统 V7 (x86_64) java-1.6.0-openjdk-1.6.0.41-1.13.13.1.el7_3或以上版本 java-1.6.0-openjdk-demo-1.6.0.41-1.13.13.1.el7_3或以上版本 java-1.6.0-openjdk-devel-1.6.0.41-1.13.13.1.el7_3或以上版本 java-1.6.0-openjdk-javadoc-1.6.0.41-1.13.13.1.el7_3或以上版本 java-1.6.0-openjdk-src-1.6.0.41-1.13.13.1.el7_3或以上版本 ·银河麒麟高级服务器操作系统 V10 (x86_64) java-1.6.0-openjdk-1.6.0.41-1.13.13.1.el7_3或以上版本 java-1.6.0-openjdk-demo-1.6.0.41-1.13.13.1.el7_3或以上版本 java-1.6.0-openjdk-devel-1.6.0.41-1.13.13.1.el7_3或以上版本 java-1.6.0-openjdk-javadoc-1.6.0.41-1.13.13.1.el7_3或以上版本 java-1.6.0-openjdk-src-1.6.0.41-1.13.13.1.el7_3或以上版本 4.修复方法 方法一:配置源进行升级安装 1.打开软件包源配置文件,根据仓库地址进行修改。 仓库源地址: 中标麒麟高级服务器操作系统 V7 x86_64:https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/ 银河麒麟高级服务器操作系统 V10 x86_64:https://update.cs2c.com.cn/NS/V10/V10-ZJ/os/adv/lic/base/x86_64/ 2.配置完成后执行更新命令进行升级,命令如下: yum update Packagename 方法二:下载安装包进行升级安装 通过软件包地址下载软件包,使用软件包升级命令根据受影响的软件包 列表进行升级安装, 命令如下: yum install Packagename 3.升级完成后是否需要重启服务或操作系统: CVE-2014-3566:需要重启 java-1.6.0-openjdk 以使漏洞修复生效。 CVE-2016-0402:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2016-0448:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2016-0466:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2016-0483:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2016-0494:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2016-0686:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2016-0687:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2016-0695:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2016-3425:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2016-3427:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2016-3458:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2016-3500:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2016-3508:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2016-3550:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2016-3606:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2016-5542:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2016-5554:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2016-5573:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2016-5582:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2016-5597:无需重启操作系统与服务即可使漏洞修复生效。 5.软件包下载地址 ·中标麒麟高级服务器操作系统 V7 java-1.6.0-openjdk(x86_64)软件包下载地址: https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-1.6.0.41-1.13.13.1.el7_3.i686.rpm https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-demo-1.6.0.41-1.13.13.1.el7_3.i686.rpm https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-demo-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-demo-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-demo-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-devel-1.6.0.41-1.13.13.1.el7_3.i686.rpm https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-devel-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-devel-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-devel-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-javadoc-1.6.0.41-1.13.13.1.el7_3.i686.rpm https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-javadoc-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-javadoc-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-javadoc-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-src-1.6.0.41-1.13.13.1.el7_3.i686.rpm https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-src-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-src-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-src-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm ·银河麒麟高级服务器操作系统 V10 java-1.6.0-openjdk(x86_64)软件包下载地址: https://update.cs2c.com.cn/NS/V10/V10-ZJ/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm https://update.cs2c.com.cn/NS/V10/V10-ZJ/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-demo-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm https://update.cs2c.com.cn/NS/V10/V10-ZJ/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-devel-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm https://update.cs2c.com.cn/NS/V10/V10-ZJ/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-javadoc-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm https://update.cs2c.com.cn/NS/V10/V10-ZJ/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-src-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm 注:其他相关依赖包请到相同目录下载 6.修复验证 使用软件包查询命令,查看相关软件包版本是否与修复版本一致,如果版本一致,则说明修复成功。 sudo rpm -qa | grep Packagename
上一篇: KYSA-202011-1003 下一篇: KYSA-202104-1209

试用

服务

动态

联系