公告ID(KYSA-202208-1315)
公告ID:KYSA-202208-1315
公告摘要:java-1.7.0-openjdk安全漏洞
等級:Critical
發(fā)布日期:2022-08-23
詳細(xì)介紹
1.修復(fù)的CVE
·CVE-2014-3566
描述:OpenSSL是Openssl團(tuán)隊的一個開源的能夠?qū)崿F(xiàn)安全套接層(SSLv2/v3)和安全傳輸層(TLSv1)協(xié)議的通用加密庫���。該產(chǎn)品支持多種加密算法����,包括對稱密碼�、哈希算法、安全散列算法等�����。OpenSSL 1.0.1i及之前版本中使用的SSL protocol 3.0版本中存在加密問題漏洞��,該漏洞源于程序使用非確定性的CBC填充�����。攻擊者可借助padding-oracle攻擊利用該漏洞實施中間人攻擊�����,獲取明文數(shù)據(jù)���。
·CVE-2016-0686
描述:Oracle Java SE 6u113���、7u99和8u77以及Java SE Embedded 8u77中存在未明漏洞,遠(yuǎn)程攻擊者可借助與序列化相關(guān)的向量影響機(jī)密性�、完整性和可用性。
·CVE-2016-5542
描述:我們發(fā)現(xiàn)OpenJDK的Libraries組件沒有限制用于JAR完整性驗證的算法集����。此漏洞允許攻擊者修改使用弱簽名密鑰或哈希算法的JAR文件的內(nèi)容。
·CVE-2016-5546
描述:我們發(fā)現(xiàn)OpenJDK的Libraries組件使用非規(guī)范的DER編碼接受ECDSA簽名��。這可能導(dǎo)致Java應(yīng)用程序以其他加密工具無法接受的錯誤格式接受簽名��。
·CVE-2016-5547
描述:我們發(fā)現(xiàn)OpenJDK的Libraries組件在分配內(nèi)存來存儲OID之前沒有驗證從DER輸入讀取的對象標(biāo)識符的長度��。攻擊者能夠使Java應(yīng)用程序解碼巧盡心思構(gòu)建的DER輸入����,可能會導(dǎo)致應(yīng)用程序消耗過多內(nèi)存。
·CVE-2016-5548
描述:在OpenJDK的Libraries組件的DSA實現(xiàn)中發(fā)現(xiàn)了一個隱蔽的定時通道缺陷���。遠(yuǎn)程攻擊者可能利用此漏洞通過定時側(cè)通道提取有關(guān)所用密鑰的特定信息��。
·CVE-2016-5552
描述:我們發(fā)現(xiàn)OpenJDK的網(wǎng)絡(luò)組件無法正確解析URL中的用戶信息��。遠(yuǎn)程攻擊者可能會導(dǎo)致Java應(yīng)用程序錯誤地解析攻擊者提供的URL��,并以與處理同一URL的其他應(yīng)用程序不同的方式對其進(jìn)行解釋���。
·CVE-2016-5554
描述:在OpenJDK的JMX組件處理類加載器的方式中發(fā)現(xiàn)了一個缺陷����。不受信任的Java應(yīng)用程序或小程序可以利用此缺陷繞過某些Java沙盒限制����。
·CVE-2016-5573
描述:我們發(fā)現(xiàn)OpenJDK的熱點組件沒有正確檢查接收到的Java調(diào)試線協(xié)議(JDWP)包。如果攻擊者能夠使受害者的瀏覽器向調(diào)試應(yīng)用程序的JDWP端口發(fā)送HTTP請求��,則攻擊者可能會利用此漏洞向運(yùn)行調(diào)試的Java程序發(fā)送調(diào)試命令���。
·CVE-2016-5597
描述:在OpenJDK的網(wǎng)絡(luò)組件處理HTTP代理身份驗證的方式中發(fā)現(xiàn)了一個缺陷��。如果代理請求身份驗證,Java應(yīng)用程序可能會通過純文本網(wǎng)絡(luò)連接到HTTP代理來公開HTTPS服務(wù)器身份驗證憑據(jù)���。
2.受影響的軟件包
·中標(biāo)麒麟高級服務(wù)器操作系統(tǒng) V6
·x86_64架構(gòu):
java-1.7.0-openjdk��、java-1.7.0-openjdk-demo�����、java-1.7.0-openjdk-devel�、java-1.7.0-openjdk-javadoc、java-1.7.0-openjdk-src
3.軟件包修復(fù)版本
·中標(biāo)麒麟高級服務(wù)器操作系統(tǒng) V6 (x86_64)
java-1.7.0-openjdk-1.7.0.131-2.6.9.0.el6_8.ns6.00或以上版本
java-1.7.0-openjdk-demo-1.7.0.131-2.6.9.0.el6_8.ns6.00或以上版本
java-1.7.0-openjdk-devel-1.7.0.131-2.6.9.0.el6_8.ns6.00或以上版本
java-1.7.0-openjdk-javadoc-1.7.0.131-2.6.9.0.el6_8.ns6.00或以上版本
java-1.7.0-openjdk-src-1.7.0.131-2.6.9.0.el6_8.ns6.00或以上版本
4.修復(fù)方法
方法一:配置源進(jìn)行升級安裝
1.打開軟件包源配置文件���,根據(jù)倉庫地址進(jìn)行修改�。
倉庫源地址:
中標(biāo)麒麟高級服務(wù)器操作系統(tǒng) V6
x86_64:https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/
2.配置完成后執(zhí)行更新命令進(jìn)行升級�,命令如下:
yum update Packagename
方法二:下載安裝包進(jìn)行升級安裝
通過軟件包地址下載軟件包,使用軟件包升級命令根據(jù)受影響的軟件包
列表進(jìn)行升級安裝, 命令如下:
yum install Packagename
3.升級完成后是否需要重啟服務(wù)或操作系統(tǒng):
CVE-2014-3566:需要重啟 java-1.7.0-openjdk 以使漏洞修復(fù)生效��。
CVE-2016-0686:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效��。
CVE-2016-5542:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效���。
CVE-2016-5546:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效����。
CVE-2016-5547:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效��。
CVE-2016-5548:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2016-5552:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�����。
CVE-2016-5554:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效���。
CVE-2016-5573:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�����。
CVE-2016-5597:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�����。
5.軟件包下載地址
·中標(biāo)麒麟高級服務(wù)器操作系統(tǒng) V6
java-1.7.0-openjdk(x86_64)軟件包下載地址:
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/Packages/java-1.7.0-openjdk-1.7.0.131-2.6.9.0.el6_8.ns6.00.x86_64.rpm
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/Packages/java-1.7.0-openjdk-demo-1.7.0.131-2.6.9.0.el6_8.ns6.00.x86_64.rpm
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/Packages/java-1.7.0-openjdk-devel-1.7.0.131-2.6.9.0.el6_8.ns6.00.x86_64.rpm
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/Packages/java-1.7.0-openjdk-javadoc-1.7.0.131-2.6.9.0.el6_8.ns6.00.noarch.rpm
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/Packages/java-1.7.0-openjdk-src-1.7.0.131-2.6.9.0.el6_8.ns6.00.x86_64.rpm
注:其他相關(guān)依賴包請到相同目錄下載
6.修復(fù)驗證
使用軟件包查詢命令�,查看相關(guān)軟件包版本是否與修復(fù)版本一致�,如果版本一致,則說明修復(fù)成功�。
sudo rpm -qa | grep Packagename
安全漏洞補(bǔ)丁公告
