BLSA-2016:0020 – 重要 java-1.7.0-openjdk 安全警告及修复方法


  • BCLinux Developers

    BLSA-2016:0020 – 重要 java-1.7.0-openjdk 安全警告及修复方法


    问题描述

    最近 java-1.7.0-openjdk 中的类型安全检查功能中发现漏洞,不可信的 Java 应用可利用这个漏洞绕过 Java 的沙盒限制,从而突破 Java 的安全沙盒机制。建议所有用户都安装 BCLinux 提供的的升级包,升级包包含了修复这些漏洞的补丁文件。

    影响版本

    • BigCloud Enterprise Linux 7.0+
    • BigCloud Enterprise Linux 6.0+
    • Red Hat Enterprise Linux 7.0+
    • Red Hat Enterprise Linux 6.0+
    • CentOS Linux 7.0+
    • CentOS Linux 6.0+

    详细介绍

    java-1.7.0-openjdk 软件包提供了 OpenJDK 7 Java 运行时环境和 用于编译和执行 Java 程序的 OpenJDK 7 Java 软件开发包。

    1. CVE-2016-0636

      对 CVE-2013-5838 的安全修复没有完全解决这个问题,远程攻击者仍然可以绕过 Java 的安全沙盒机制。问题的根源在于当在两个不同的类加载器命名空间中引用 Method Handle 对象时, Reflection API 不能完全保证类型的安全性。原来的补丁是用 "loadersAreRelated()" 方法来保证两个类加载器命名空间的相关性。但是在类加载过程中这个方法可能会被错误的调用,从而可以让攻击者绕过类型安全检查,突破 Java 的安全沙盒机制。

    解决方案

    目前,BCLinux 的官方源已经提供更新的 java-1.7.0-openjdk 软件包, 用户需要升级到 1.7.0.99-2.6.5.0 版本。

    1. 检查YUM源设置,确保使用的是 BCLinux 官方 YUM 源

      [root@BCLinux ~]# ll /etc/yum.repos.d/
      total 24  
      -rw-r--r-- 1 root root 1038 Mar 10 04:46 BCLinux-Base.repo  
      -rw-r--r-- 1 root root 1053 Oct 19 21:18 BCLinux-Source.repo  
      -rw-r--r-- 1 root root 1184 Oct 19 21:18 BigCloud.repo
      
    2. 安装更新

      [root@BCLinux ~]# yum update java-1.7.0-openjdk
      Loaded plugins: fastestmirror
      Loading mirror speeds from cached hostfile
      Resolving Dependencies
      --> Running transaction check
      ---> Package java-1.7.0-openjdk.x86_64 0:1.7.0.99-2.6.5.0.el7_2 will be updated
      --> Finished Dependency Resolution
      
      Dependencies Resolved
      
      ===============================================================================================================================================================================================
      Package                                      Arch                                    Version                                                   Repository                                Size
      ===============================================================================================================================================================================================
      Updating:
      java-1.7.0-openjdk                           x86_64                                  1.7.0.99-2.6.5.0.el7_2                                    updates                                  793 k
      
      Transaction Summary
      ===============================================================================================================================================================================================
      Upgrade  1 Package
      
      Total download size: 793 k
      Installed size: 2.3 M
      
    1. 复查

      [root@BCLinux ~]# rpm -qa | grep java-1.7.0-openjdk
      java-1.7.0-openjdk-1.7.0.99-2.6.5.0.el7_2.x86_64
      
    2. 重启服务

      安装升级包以后,所有的 Java 运行实例必须重新启动。

    外部链接:

    1. BCLinux 安全更新


登录后回复
 

与 BC-LINUX 的连接断开,我们正在尝试重连,请耐心等待