BLSA-2016:0030 – [紧急] java-1.6.0-openjdk 安全警告及修复方法


  • BCLinux Developers

    BLSA-2016:0030 – [紧急] java-1.6.0-openjdk 安全警告及修复方法


    问题描述

    最近 java-1.6.0-openjdk 修复了多个漏洞,这些漏洞可用来突破 Java 沙盒限制,引起资源消耗,降低安全强度等,建议所有使用 java-1.6.0-openjdk 的 BCLinux 用户都安装 BCLinux 提供的升级包,升级包包含了修复这些漏洞的补丁文件。

    JAVA OpenJDK 介绍:

    OpenJDK是JDK(Java开发工具)的开源版本,目前由甲骨文领导的JCP(Java社区进程)负责开发和维护。

    JDK最初由Sun公司开发,该公司在2006年的JavaOne大会上宣布将开放JDK的源代码,这就是OpenJDK项目,于2009年4月15日正式发布。在2009年4月20日甲骨文收购Sun后,OpenJDK由甲骨文接管。

    与JDK相比,OpenJDK不包括部署功能(浏览器插件、Java Web Start和Java控制面板等)、一些有版权的源代码(这部分代码使用其他一些功能相同的源代码代替)、一些可选的软件包以及Java商标等。

    OpenJDK以GPL协议的形式放出。在JDK7的时候,openjdk已经成为jdk7的主干开 发,sun jdk7是在openjdk7的基础上发布的,其大部分原始码都相同,只有少部分原始码被替换掉。使用JRL(JavaResearch License,Java研究授权协议)发布。

    至于openjdk6则更是有其复杂的一面,首先是openjdk6是jdk7的一个分支,并且尽量去除Java SE7的新特性,使其尽量的符合Java6的标准。

    java-1.6.0-openjdk 软件包提供了 OpenJDK 6 Java 运行时环境和用于编译、执行 Java 程序的 OpenJDK 6 Java 软件开发包。

    影响版本

    • BigCloud Enterprise Linux 7
    • BigCloud Enterprise Linux 6
    • Red Hat Enterprise Linux 7
    • Red Hat Enterprise Linux 6
    • CentOS Linux 7
    • CentOS Linux 6

    详细介绍

    1. CVE-2016-0686

      OpenJDK 的 Serialization 组件中的 ObjectInputStream 类在反序列化序列输入时不能保证线程的一致性,非信任 Java 应用可利用这个漏洞绕过 Java 的沙盒限制。

    2. CVE-2016-0687

      OpenJDK 的 Hotspot 组件不能正确处理字节类型,非信任 Java 应用可利用这个漏洞毁坏 Java 虚拟机的内存,并绕过 Java 的沙盒限制执行任意代码。

    3. CVE-2016-0695

      Security 组件在生成 DSA 签名时不能检查摘要式算法的强度。使用比秘钥强度低的摘要会生成比预期更弱的签名。

    4. CVE-2016-3425

      JAXP 组件不能正确处理用于 XML 属性值的 Unicode 代理对。伪造的 XML 输入会引起 Java 应用消耗过量的内存。

    5. CVE-2016-3427

      JMX 组件中的 RMI 服务器实现没有限制那些类可以被反序列化。未验证的远程攻击者可以通过连接一个 JMX 端口利用该漏洞触发反序列化漏洞。

    解决方案

    目前,BCLinux 的官方源已经提供 java-1.6.0-openjdk 更新软件包,版本: 1.6.0.39-1.13.11.0 ,更新方法:

    1. 检查YUM源设置,确保使用的是 BCLinux 官方 YUM 源

      [root@BCLinux ~]# ll /etc/yum.repos.d/
      total 24  
      -rw-r--r-- 1 root root 1038 Mar 10 04:46 BCLinux-Base.repo  
      -rw-r--r-- 1 root root 1053 Oct 19 21:18 BCLinux-Source.repo  
      -rw-r--r-- 1 root root 1184 Oct 19 21:18 BigCloud.repo
      
    2. 安装更新

      [root@BCLinux ~]# yum update java-1.6.0-openjdk
      Loaded plugins: fastestmirror
      Loading mirror speeds from cached hostfile
      Resolving Dependencies
      --> Running transaction check
      ---> Package java-1.6.0-openjdk.x86_64 0:1.6.0.39-1.13.11.0.el6_7 will be updated
      --> Finished Dependency Resolution
      
      Dependencies Resolved
      
      ===============================================================================================================================================================================================
      Package                                      Arch                                    Version                                                   Repository                                Size
      ===============================================================================================================================================================================================
      Updating:
      java-1.6.0-openjdk                           x86_64                                  1.6.0.39-1.13.11.0.el6_7                                  updates                                   793 k
      
      Transaction Summary
      ===============================================================================================================================================================================================
      Upgrade  1 Package
      
      Total download size: 793 k
      Installed size: 2.3 M
      
    1. 复查

      [root@BCLinux ~]# rpm -qa | grep java-1.6.0-openjdk
      java-1.6.0-openjdk-1.6.0.39-1.13.11.0.el6_7.x86_64
      
    2. 重启服务

      安装升级包以后,所有的 OpenJDK 运行实例必须重启。

    外部链接:

    1. BCLinux 安全更新


登录后回复
 

与 BC-LINUX 的连接断开,我们正在尝试重连,请耐心等待