公告ID(KYSA-202104-1181)
公告ID:KYSA-202104-1181
公告摘要:java-1.6.0-openjdk安全漏洞
等級(jí):Critical
發(fā)布日期:2021-04-08
詳細(xì)介紹
1.修復(fù)的CVE
·CVE-2014-3566
描述:OpenSSL是Openssl團(tuán)隊(duì)的一個(gè)開源的能夠?qū)崿F(xiàn)安全套接層(SSLv2/v3)和安全傳輸層(TLSv1)協(xié)議的通用加密庫(kù)��。該產(chǎn)品支持多種加密算法��,包括對(duì)稱密碼、哈希算法���、安全散列算法等����。OpenSSL 1.0.1i及之前版本中使用的SSL protocol 3.0版本中存在加密問(wèn)題漏洞,該漏洞源于程序使用非確定性的CBC填充���。攻擊者可借助padding-oracle攻擊利用該漏洞實(shí)施中間人攻擊���,獲取明文數(shù)據(jù)。
·CVE-2016-0402
描述:Oracle Java SE和Oracle Java SE Embedded都是美國(guó)甲骨文(Oracle)公司的產(chǎn)品��。Oracle Java SE是一款用于開發(fā)和部署桌面��、服務(wù)器以及嵌入設(shè)備和實(shí)時(shí)環(huán)境中的Java應(yīng)用程序���。Oracle Java SE Embedded是一款針對(duì)嵌入式系統(tǒng)的��、可移植的應(yīng)用程序的Java平臺(tái)���。Oracle Java SE和Java SE Embedded的Networking子組件中存在安全漏洞。遠(yuǎn)程攻擊者可利用該漏洞更新����、插入或刪除數(shù)據(jù),影響數(shù)據(jù)的完整性。以下產(chǎn)品及版本受到影響:Oracle Java SE 6u105版本����,7u91版本,8u66版本���,Java SE Embedded 8u65版本�����。
·CVE-2016-0448
描述:Oracle Java SE和Oracle Java SE Embedded都是美國(guó)甲骨文(Oracle)公司的產(chǎn)品��。Oracle Java SE是一款用于開發(fā)和部署桌面����、服務(wù)器以及嵌入設(shè)備和實(shí)時(shí)環(huán)境中的Java應(yīng)用程序�。Oracle Java SE Embedded是一款針對(duì)嵌入式系統(tǒng)的���、可移植的應(yīng)用程序的Java平臺(tái)�����。Oracle Java SE和Java SE Embedded的JMX子組件中存在安全漏洞��。遠(yuǎn)程攻擊者可利用該漏洞讀取數(shù)據(jù)����,影響數(shù)據(jù)的保密性。以下產(chǎn)品及版本受到影響:Oracle Java SE 6u105版本���,7u91版本��,8u66版本����,Java SE Embedded 8u65版本���。
·CVE-2016-0466
描述:Oracle Java SE等都是美國(guó)甲骨文(Oracle)公司的產(chǎn)品���。Oracle Java SE是一款用于開發(fā)和部署桌面、服務(wù)器以及嵌入設(shè)備和實(shí)時(shí)環(huán)境中的Java應(yīng)用程序�。Oracle Java SE Embedded是一款針對(duì)嵌入式系統(tǒng)的、可移植的應(yīng)用程序的Java平臺(tái)�����。Oracle Jrockit是一款內(nèi)置于Oracle融合中間件中的Java虛擬機(jī)��。Oracle Java SE、JRockit和Java SE Embedded的JAXP子組件存在安全漏洞��。遠(yuǎn)程攻擊者可利用該漏洞造成拒絕服務(wù)���,影響數(shù)據(jù)的可用性�����。以下產(chǎn)品及版本受到影響:Oracle Java SE 6u105版本�����,7u91版本�,8u66版本����,Java SE Embedded 8u65版本,JRockit R28.3.8版本�����。
·CVE-2016-0483
描述:Oracle Java SE等都是美國(guó)甲骨文(Oracle)公司的產(chǎn)品��。Oracle Java SE是一款用于開發(fā)和部署桌面�����、服務(wù)器以及嵌入設(shè)備和實(shí)時(shí)環(huán)境中的Java應(yīng)用程序�����。Oracle Java SE Embedded是一款針對(duì)嵌入式系統(tǒng)的����、可移植的應(yīng)用程序的Java平臺(tái)。Oracle Jrockit是一款內(nèi)置于Oracle融合中間件中的Java虛擬機(jī)�。Oracle Java SE、JRockit和Java SE Embedded的AWT子組件存在安全漏洞��。遠(yuǎn)程攻擊者可利用該漏洞控制組件��,執(zhí)行任意代碼���,影響數(shù)據(jù)的保密性���,完整性及可用性。以下產(chǎn)品及版本受到影響:Oracle Java SE 6u105版本�����,7u91版本,8u66版本�,Java SE Embedded 8u65版本,JRockit R28.3.8版本�����。
·CVE-2016-0494
描述:Oracle Java SE和Oracle Java SE Embedded都是美國(guó)甲骨文(Oracle)公司的產(chǎn)品�。Oracle Java SE是一款用于開發(fā)和部署桌面、服務(wù)器以及嵌入設(shè)備和實(shí)時(shí)環(huán)境中的Java應(yīng)用程序����。Oracle Java SE Embedded是一款針對(duì)嵌入式系統(tǒng)的、可移植的應(yīng)用程序的Java平臺(tái)���。Oracle Java SE和Java SE Embedded的2D子組件存在安全漏洞����。遠(yuǎn)程攻擊者可利用該漏洞控制組件��,執(zhí)行任意代碼����,影響數(shù)據(jù)的保密性,完整性及可用性�。以下版本受到影響:Oracle Java SE 6u105版本,7u91版本���,8u66版本��,Java SE Embedded 8u65版本����。
·CVE-2016-0686
描述:Oracle Java SE 6u113��、7u99和8u77以及Java SE Embedded 8u77中存在未明漏洞���,遠(yuǎn)程攻擊者可借助與序列化相關(guān)的向量影響機(jī)密性�����、完整性和可用性�����。
·CVE-2016-0687
描述:Oracle Java SE 6u113���、7u99和8u77以及Java SE Embedded 8u77中存在未明漏洞,遠(yuǎn)程攻擊者可借助與熱點(diǎn)子組件相關(guān)的向量影響機(jī)密性�����、完整性和可用性。
·CVE-2016-0695
描述:發(fā)現(xiàn)OpenJDK中的安全組件在生成DSA簽名時(shí)未能檢查摘要算法的強(qiáng)度����。使用弱于密鑰強(qiáng)度的摘要可能會(huì)導(dǎo)致生成比預(yù)期弱的簽名。
·CVE-2016-3425
描述:我們發(fā)現(xiàn)OpenJDK中的JAXP組件未能正確處理作為XML屬性值一部分使用的Unicode代理項(xiàng)對(duì)��。特別構(gòu)建的XML輸入可能會(huì)導(dǎo)致Java應(yīng)用程序在解析時(shí)使用過(guò)多的內(nèi)存����。
·CVE-2016-3427
描述:Oracle Java SE等都是美國(guó)甲骨文(Oracle)公司的產(chǎn)品。Oracle Java SE是一款用于開發(fā)和部署桌面��、服務(wù)器以及嵌入設(shè)備和實(shí)時(shí)環(huán)境中的Java應(yīng)用程序����。Oracle Java SE Embedded是一款針對(duì)嵌入式系統(tǒng)的、可移植的應(yīng)用程序的Java平臺(tái)���。Oracle Jrockit是一款內(nèi)置于Oracle融合中間件中的Java虛擬機(jī)�����。Oracle Java SE�、Java SE Embedded和JRockit中的JMX子組件存在安全漏洞。遠(yuǎn)程攻擊者可利用該漏洞控制組件���,影響數(shù)據(jù)的保密性,完整性及可用性�����。以下版本受到影響:Oracle Java SE 6u113版本�,7u99版本,8u77版本���,Java SE Embedded 8u77版本���,Jrockit R28.3.9版本。
·CVE-2016-3458
描述:Oracle Java SE 6u115����、7u101和8u92;以及Java SE Embedded 8u91中存在未明漏洞�,遠(yuǎn)程攻擊者可借助與CORBA相關(guān)的向量影響完整性。
·CVE-2016-3500
描述:Oracle Java SE 6u115��、7u101和8u92����;Java SE Embedded 8u91�����;和JRockit R28.3.10中的未指明漏洞允許遠(yuǎn)程攻擊者通過(guò)與JAXP相關(guān)的向量來(lái)影響可用性�����,這是一個(gè)與CVE-2016-3508不同的漏洞�。
·CVE-2016-3508
描述:Oracle Java SE 6u115�、7u101和8u92;Java SE Embedded 8u91�����;和JRockit R28.3.10中的未指明漏洞允許遠(yuǎn)程攻擊者通過(guò)與JAXP相關(guān)的向量來(lái)影響可用性�����,這是一個(gè)與CVE-2016-3500不同的漏洞��。
·CVE-2016-3550
描述:Oracle Java SE 6u115�����、7u101和8u92以及Java SE Embedded 8u91中存在未明漏洞,遠(yuǎn)程攻擊者可借助與熱點(diǎn)相關(guān)的向量影響機(jī)密性�����。
·CVE-2016-3606
描述:Oracle Java SE 7u101和8u92以及Java SE Embedded 8u91中存在未明漏洞����,遠(yuǎn)程攻擊者可借助與熱點(diǎn)相關(guān)的向量影響機(jī)密性�、完整性和可用性。
·CVE-2016-5542
描述:我們發(fā)現(xiàn)OpenJDK的Libraries組件沒有限制用于JAR完整性驗(yàn)證的算法集�。此漏洞允許攻擊者修改使用弱簽名密鑰或哈希算法的JAR文件的內(nèi)容。
·CVE-2016-5554
描述:在OpenJDK的JMX組件處理類加載器的方式中發(fā)現(xiàn)了一個(gè)缺陷���。不受信任的Java應(yīng)用程序或小程序可以利用此缺陷繞過(guò)某些Java沙盒限制�。
·CVE-2016-5573
描述:我們發(fā)現(xiàn)OpenJDK的熱點(diǎn)組件沒有正確檢查接收到的Java調(diào)試線協(xié)議(JDWP)包����。如果攻擊者能夠使受害者的瀏覽器向調(diào)試應(yīng)用程序的JDWP端口發(fā)送HTTP請(qǐng)求,則攻擊者可能會(huì)利用此漏洞向運(yùn)行調(diào)試的Java程序發(fā)送調(diào)試命令���。
·CVE-2016-5582
描述:我們發(fā)現(xiàn)OpenJDK的熱點(diǎn)組件沒有正確檢查系統(tǒng)陣列復(fù)制()在某些情況下起作用�。不受信任的Java應(yīng)用程序或小程序可以利用此漏洞破壞虛擬機(jī)的內(nèi)存,并完全繞過(guò)Java沙盒限制�����。
·CVE-2016-5597
描述:在OpenJDK的網(wǎng)絡(luò)組件處理HTTP代理身份驗(yàn)證的方式中發(fā)現(xiàn)了一個(gè)缺陷�。如果代理請(qǐng)求身份驗(yàn)證,Java應(yīng)用程序可能會(huì)通過(guò)純文本網(wǎng)絡(luò)連接到HTTP代理來(lái)公開HTTPS服務(wù)器身份驗(yàn)證憑據(jù)���。
2.受影響的軟件包
·中標(biāo)麒麟高級(jí)服務(wù)器操作系統(tǒng) V7
·x86_64架構(gòu):
java-1.6.0-openjdk���、java-1.6.0-openjdk-demo、java-1.6.0-openjdk-devel��、java-1.6.0-openjdk-javadoc����、java-1.6.0-openjdk-src
·銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10
·x86_64架構(gòu):
java-1.6.0-openjdk、java-1.6.0-openjdk-demo���、java-1.6.0-openjdk-devel�����、java-1.6.0-openjdk-javadoc��、java-1.6.0-openjdk-src
3.軟件包修復(fù)版本
·中標(biāo)麒麟高級(jí)服務(wù)器操作系統(tǒng) V7 (x86_64)
java-1.6.0-openjdk-1.6.0.41-1.13.13.1.el7_3或以上版本
java-1.6.0-openjdk-demo-1.6.0.41-1.13.13.1.el7_3或以上版本
java-1.6.0-openjdk-devel-1.6.0.41-1.13.13.1.el7_3或以上版本
java-1.6.0-openjdk-javadoc-1.6.0.41-1.13.13.1.el7_3或以上版本
java-1.6.0-openjdk-src-1.6.0.41-1.13.13.1.el7_3或以上版本
·銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10 (x86_64)
java-1.6.0-openjdk-1.6.0.41-1.13.13.1.el7_3或以上版本
java-1.6.0-openjdk-demo-1.6.0.41-1.13.13.1.el7_3或以上版本
java-1.6.0-openjdk-devel-1.6.0.41-1.13.13.1.el7_3或以上版本
java-1.6.0-openjdk-javadoc-1.6.0.41-1.13.13.1.el7_3或以上版本
java-1.6.0-openjdk-src-1.6.0.41-1.13.13.1.el7_3或以上版本
4.修復(fù)方法
方法一:配置源進(jìn)行升級(jí)安裝
1.打開軟件包源配置文件����,根據(jù)倉(cāng)庫(kù)地址進(jìn)行修改。
倉(cāng)庫(kù)源地址:
中標(biāo)麒麟高級(jí)服務(wù)器操作系統(tǒng) V7
x86_64:https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/
銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10
x86_64:https://update.cs2c.com.cn/NS/V10/V10-ZJ/os/adv/lic/base/x86_64/
2.配置完成后執(zhí)行更新命令進(jìn)行升級(jí)�����,命令如下:
yum update Packagename
方法二:下載安裝包進(jìn)行升級(jí)安裝
通過(guò)軟件包地址下載軟件包�����,使用軟件包升級(jí)命令根據(jù)受影響的軟件包
列表進(jìn)行升級(jí)安裝, 命令如下:
yum install Packagename
3.升級(jí)完成后是否需要重啟服務(wù)或操作系統(tǒng):
CVE-2014-3566:需要重啟 java-1.6.0-openjdk 以使漏洞修復(fù)生效��。
CVE-2016-0402:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效��。
CVE-2016-0448:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效��。
CVE-2016-0466:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效���。
CVE-2016-0483:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2016-0494:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效����。
CVE-2016-0686:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2016-0687:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2016-0695:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�����。
CVE-2016-3425:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效���。
CVE-2016-3427:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效��。
CVE-2016-3458:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效��。
CVE-2016-3500:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效���。
CVE-2016-3508:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2016-3550:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效����。
CVE-2016-3606:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2016-5542:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效���。
CVE-2016-5554:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�����。
CVE-2016-5573:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效����。
CVE-2016-5582:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2016-5597:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效����。
5.軟件包下載地址
·中標(biāo)麒麟高級(jí)服務(wù)器操作系統(tǒng) V7
java-1.6.0-openjdk(x86_64)軟件包下載地址:
https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-1.6.0.41-1.13.13.1.el7_3.i686.rpm
https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-demo-1.6.0.41-1.13.13.1.el7_3.i686.rpm
https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-demo-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-demo-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-demo-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-devel-1.6.0.41-1.13.13.1.el7_3.i686.rpm
https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-devel-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-devel-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-devel-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-javadoc-1.6.0.41-1.13.13.1.el7_3.i686.rpm
https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-javadoc-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-javadoc-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-javadoc-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-src-1.6.0.41-1.13.13.1.el7_3.i686.rpm
https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-src-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-src-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-src-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm
·銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10
java-1.6.0-openjdk(x86_64)軟件包下載地址:
https://update.cs2c.com.cn/NS/V10/V10-ZJ/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm
https://update.cs2c.com.cn/NS/V10/V10-ZJ/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-demo-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm
https://update.cs2c.com.cn/NS/V10/V10-ZJ/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-devel-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm
https://update.cs2c.com.cn/NS/V10/V10-ZJ/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-javadoc-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm
https://update.cs2c.com.cn/NS/V10/V10-ZJ/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-src-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm
注:其他相關(guān)依賴包請(qǐng)到相同目錄下載
6.修復(fù)驗(yàn)證
使用軟件包查詢命令,查看相關(guān)軟件包版本是否與修復(fù)版本一致��,如果版本一致����,則說(shuō)明修復(fù)成功。
sudo rpm -qa | grep Packagename
