公告ID(KYSA-202104-1181)
公告ID:KYSA-202104-1181
公告摘要:java-1.6.0-openjdk安全漏洞
等级:Critical
发布日期:2021-04-08
详细介绍
1.修复的CVE
·CVE-2014-3566
描述:OpenSSL是Openssl团队的一个开源的能够实现安全套接层(SSLv2/v3)和安全传输层(TLSv1)协议的通用加密库。该产品支持多种加密算法,包括对称密码、哈希算法、安全散列算法等。OpenSSL 1.0.1i及之前版本中使用的SSL protocol 3.0版本中存在加密问题漏洞,该漏洞源于程序使用非确定性的CBC填充。攻击者可借助padding-oracle攻击利用该漏洞实施中间人攻击,获取明文数据。
·CVE-2016-0402
描述:Oracle Java SE和Oracle Java SE Embedded都是美国甲骨文(Oracle)公司的产品。Oracle Java SE是一款用于开发和部署桌面、服务器以及嵌入设备和实时环境中的Java应用程序。Oracle Java SE Embedded是一款针对嵌入式系统的、可移植的应用程序的Java平台。Oracle Java SE和Java SE Embedded的Networking子组件中存在安全漏洞。远程攻击者可利用该漏洞更新、插入或删除数据,影响数据的完整性。以下产品及版本受到影响:Oracle Java SE 6u105版本,7u91版本,8u66版本,Java SE Embedded 8u65版本。
·CVE-2016-0448
描述:Oracle Java SE和Oracle Java SE Embedded都是美国甲骨文(Oracle)公司的产品。Oracle Java SE是一款用于开发和部署桌面、服务器以及嵌入设备和实时环境中的Java应用程序。Oracle Java SE Embedded是一款针对嵌入式系统的、可移植的应用程序的Java平台。Oracle Java SE和Java SE Embedded的JMX子组件中存在安全漏洞。远程攻击者可利用该漏洞读取数据,影响数据的保密性。以下产品及版本受到影响:Oracle Java SE 6u105版本,7u91版本,8u66版本,Java SE Embedded 8u65版本。
·CVE-2016-0466
描述:Oracle Java SE等都是美国甲骨文(Oracle)公司的产品。Oracle Java SE是一款用于开发和部署桌面、服务器以及嵌入设备和实时环境中的Java应用程序。Oracle Java SE Embedded是一款针对嵌入式系统的、可移植的应用程序的Java平台。Oracle Jrockit是一款内置于Oracle融合中间件中的Java虚拟机。Oracle Java SE、JRockit和Java SE Embedded的JAXP子组件存在安全漏洞。远程攻击者可利用该漏洞造成拒绝服务,影响数据的可用性。以下产品及版本受到影响:Oracle Java SE 6u105版本,7u91版本,8u66版本,Java SE Embedded 8u65版本,JRockit R28.3.8版本。
·CVE-2016-0483
描述:Oracle Java SE等都是美国甲骨文(Oracle)公司的产品。Oracle Java SE是一款用于开发和部署桌面、服务器以及嵌入设备和实时环境中的Java应用程序。Oracle Java SE Embedded是一款针对嵌入式系统的、可移植的应用程序的Java平台。Oracle Jrockit是一款内置于Oracle融合中间件中的Java虚拟机。Oracle Java SE、JRockit和Java SE Embedded的AWT子组件存在安全漏洞。远程攻击者可利用该漏洞控制组件,执行任意代码,影响数据的保密性,完整性及可用性。以下产品及版本受到影响:Oracle Java SE 6u105版本,7u91版本,8u66版本,Java SE Embedded 8u65版本,JRockit R28.3.8版本。
·CVE-2016-0494
描述:Oracle Java SE和Oracle Java SE Embedded都是美国甲骨文(Oracle)公司的产品。Oracle Java SE是一款用于开发和部署桌面、服务器以及嵌入设备和实时环境中的Java应用程序。Oracle Java SE Embedded是一款针对嵌入式系统的、可移植的应用程序的Java平台。Oracle Java SE和Java SE Embedded的2D子组件存在安全漏洞。远程攻击者可利用该漏洞控制组件,执行任意代码,影响数据的保密性,完整性及可用性。以下版本受到影响:Oracle Java SE 6u105版本,7u91版本,8u66版本,Java SE Embedded 8u65版本。
·CVE-2016-0686
描述:Oracle Java SE 6u113、7u99和8u77以及Java SE Embedded 8u77中存在未明漏洞,远程攻击者可借助与序列化相关的向量影响机密性、完整性和可用性。
·CVE-2016-0687
描述:Oracle Java SE 6u113、7u99和8u77以及Java SE Embedded 8u77中存在未明漏洞,远程攻击者可借助与热点子组件相关的向量影响机密性、完整性和可用性。
·CVE-2016-0695
描述:发现OpenJDK中的安全组件在生成DSA签名时未能检查摘要算法的强度。使用弱于密钥强度的摘要可能会导致生成比预期弱的签名。
·CVE-2016-3425
描述:我们发现OpenJDK中的JAXP组件未能正确处理作为XML属性值一部分使用的Unicode代理项对。特别构建的XML输入可能会导致Java应用程序在解析时使用过多的内存。
·CVE-2016-3427
描述:Oracle Java SE等都是美国甲骨文(Oracle)公司的产品。Oracle Java SE是一款用于开发和部署桌面、服务器以及嵌入设备和实时环境中的Java应用程序。Oracle Java SE Embedded是一款针对嵌入式系统的、可移植的应用程序的Java平台。Oracle Jrockit是一款内置于Oracle融合中间件中的Java虚拟机。Oracle Java SE、Java SE Embedded和JRockit中的JMX子组件存在安全漏洞。远程攻击者可利用该漏洞控制组件,影响数据的保密性,完整性及可用性。以下版本受到影响:Oracle Java SE 6u113版本,7u99版本,8u77版本,Java SE Embedded 8u77版本,Jrockit R28.3.9版本。
·CVE-2016-3458
描述:Oracle Java SE 6u115、7u101和8u92;以及Java SE Embedded 8u91中存在未明漏洞,远程攻击者可借助与CORBA相关的向量影响完整性。
·CVE-2016-3500
描述:Oracle Java SE 6u115、7u101和8u92;Java SE Embedded 8u91;和JRockit R28.3.10中的未指明漏洞允许远程攻击者通过与JAXP相关的向量来影响可用性,这是一个与CVE-2016-3508不同的漏洞。
·CVE-2016-3508
描述:Oracle Java SE 6u115、7u101和8u92;Java SE Embedded 8u91;和JRockit R28.3.10中的未指明漏洞允许远程攻击者通过与JAXP相关的向量来影响可用性,这是一个与CVE-2016-3500不同的漏洞。
·CVE-2016-3550
描述:Oracle Java SE 6u115、7u101和8u92以及Java SE Embedded 8u91中存在未明漏洞,远程攻击者可借助与热点相关的向量影响机密性。
·CVE-2016-3606
描述:Oracle Java SE 7u101和8u92以及Java SE Embedded 8u91中存在未明漏洞,远程攻击者可借助与热点相关的向量影响机密性、完整性和可用性。
·CVE-2016-5542
描述:我们发现OpenJDK的Libraries组件没有限制用于JAR完整性验证的算法集。此漏洞允许攻击者修改使用弱签名密钥或哈希算法的JAR文件的内容。
·CVE-2016-5554
描述:在OpenJDK的JMX组件处理类加载器的方式中发现了一个缺陷。不受信任的Java应用程序或小程序可以利用此缺陷绕过某些Java沙盒限制。
·CVE-2016-5573
描述:我们发现OpenJDK的热点组件没有正确检查接收到的Java调试线协议(JDWP)包。如果攻击者能够使受害者的浏览器向调试应用程序的JDWP端口发送HTTP请求,则攻击者可能会利用此漏洞向运行调试的Java程序发送调试命令。
·CVE-2016-5582
描述:我们发现OpenJDK的热点组件没有正确检查系统阵列复制()在某些情况下起作用。不受信任的Java应用程序或小程序可以利用此漏洞破坏虚拟机的内存,并完全绕过Java沙盒限制。
·CVE-2016-5597
描述:在OpenJDK的网络组件处理HTTP代理身份验证的方式中发现了一个缺陷。如果代理请求身份验证,Java应用程序可能会通过纯文本网络连接到HTTP代理来公开HTTPS服务器身份验证凭据。
2.受影响的软件包
·中标和记官网登录高级服务器操作系统 V7
·x86_64架构:
java-1.6.0-openjdk、java-1.6.0-openjdk-demo、java-1.6.0-openjdk-devel、java-1.6.0-openjdk-javadoc、java-1.6.0-openjdk-src
·银河和记官网登录高级服务器操作系统 V10
·x86_64架构:
java-1.6.0-openjdk、java-1.6.0-openjdk-demo、java-1.6.0-openjdk-devel、java-1.6.0-openjdk-javadoc、java-1.6.0-openjdk-src
3.软件包修复版本
·中标和记官网登录高级服务器操作系统 V7 (x86_64)
java-1.6.0-openjdk-1.6.0.41-1.13.13.1.el7_3或以上版本
java-1.6.0-openjdk-demo-1.6.0.41-1.13.13.1.el7_3或以上版本
java-1.6.0-openjdk-devel-1.6.0.41-1.13.13.1.el7_3或以上版本
java-1.6.0-openjdk-javadoc-1.6.0.41-1.13.13.1.el7_3或以上版本
java-1.6.0-openjdk-src-1.6.0.41-1.13.13.1.el7_3或以上版本
·银河和记官网登录高级服务器操作系统 V10 (x86_64)
java-1.6.0-openjdk-1.6.0.41-1.13.13.1.el7_3或以上版本
java-1.6.0-openjdk-demo-1.6.0.41-1.13.13.1.el7_3或以上版本
java-1.6.0-openjdk-devel-1.6.0.41-1.13.13.1.el7_3或以上版本
java-1.6.0-openjdk-javadoc-1.6.0.41-1.13.13.1.el7_3或以上版本
java-1.6.0-openjdk-src-1.6.0.41-1.13.13.1.el7_3或以上版本
4.修复方法
方法一:配置源进行升级安装
1.打开软件包源配置文件,根据仓库地址进行修改。
仓库源地址:
中标和记官网登录高级服务器操作系统 V7
x86_64:http://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/
银河和记官网登录高级服务器操作系统 V10
x86_64:http://update.cs2c.com.cn/NS/V10/V10-ZJ/os/adv/lic/base/x86_64/
2.配置完成后执行更新命令进行升级,命令如下:
yum update Packagename
方法二:下载安装包进行升级安装
通过软件包地址下载软件包,使用软件包升级命令根据受影响的软件包
列表进行升级安装, 命令如下:
yum install Packagename
3.升级完成后是否需要重启服务或操作系统:
CVE-2014-3566:需要重启 java-1.6.0-openjdk 以使漏洞修复生效。
CVE-2016-0402:无需重启操作系统与服务即可使漏洞修复生效。
CVE-2016-0448:无需重启操作系统与服务即可使漏洞修复生效。
CVE-2016-0466:无需重启操作系统与服务即可使漏洞修复生效。
CVE-2016-0483:无需重启操作系统与服务即可使漏洞修复生效。
CVE-2016-0494:无需重启操作系统与服务即可使漏洞修复生效。
CVE-2016-0686:无需重启操作系统与服务即可使漏洞修复生效。
CVE-2016-0687:无需重启操作系统与服务即可使漏洞修复生效。
CVE-2016-0695:无需重启操作系统与服务即可使漏洞修复生效。
CVE-2016-3425:无需重启操作系统与服务即可使漏洞修复生效。
CVE-2016-3427:无需重启操作系统与服务即可使漏洞修复生效。
CVE-2016-3458:无需重启操作系统与服务即可使漏洞修复生效。
CVE-2016-3500:无需重启操作系统与服务即可使漏洞修复生效。
CVE-2016-3508:无需重启操作系统与服务即可使漏洞修复生效。
CVE-2016-3550:无需重启操作系统与服务即可使漏洞修复生效。
CVE-2016-3606:无需重启操作系统与服务即可使漏洞修复生效。
CVE-2016-5542:无需重启操作系统与服务即可使漏洞修复生效。
CVE-2016-5554:无需重启操作系统与服务即可使漏洞修复生效。
CVE-2016-5573:无需重启操作系统与服务即可使漏洞修复生效。
CVE-2016-5582:无需重启操作系统与服务即可使漏洞修复生效。
CVE-2016-5597:无需重启操作系统与服务即可使漏洞修复生效。
5.软件包下载地址
·中标和记官网登录高级服务器操作系统 V7
java-1.6.0-openjdk(x86_64)软件包下载地址:
http://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-1.6.0.41-1.13.13.1.el7_3.i686.rpm
http://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm
http://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm
http://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm
http://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-demo-1.6.0.41-1.13.13.1.el7_3.i686.rpm
http://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-demo-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm
http://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-demo-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm
http://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-demo-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm
http://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-devel-1.6.0.41-1.13.13.1.el7_3.i686.rpm
http://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-devel-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm
http://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-devel-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm
http://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-devel-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm
http://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-javadoc-1.6.0.41-1.13.13.1.el7_3.i686.rpm
http://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-javadoc-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm
http://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-javadoc-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm
http://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-javadoc-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm
http://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-src-1.6.0.41-1.13.13.1.el7_3.i686.rpm
http://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-src-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm
http://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-src-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm
http://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-src-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm
·银河和记官网登录高级服务器操作系统 V10
java-1.6.0-openjdk(x86_64)软件包下载地址:
http://update.cs2c.com.cn/NS/V10/V10-ZJ/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm
http://update.cs2c.com.cn/NS/V10/V10-ZJ/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-demo-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm
http://update.cs2c.com.cn/NS/V10/V10-ZJ/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-devel-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm
http://update.cs2c.com.cn/NS/V10/V10-ZJ/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-javadoc-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm
http://update.cs2c.com.cn/NS/V10/V10-ZJ/os/adv/lic/base/x86_64/Packages/java-1.6.0-openjdk-src-1.6.0.41-1.13.13.1.el7_3.x86_64.rpm
注:其他相关依赖包请到相同目录下载
6.修复验证
使用软件包查询命令,查看相关软件包版本是否与修复版本一致,如果版本一致,则说明修复成功。
sudo rpm -qa | grep Packagename