BLSA-2016:0025 – [紧急] java-1.8.0-openjdk 安全警告及修复方法


  • BCLinux Developers

    BLSA-2016:0025 – [紧急] java-1.8.0-openjdk 安全警告及修复方法


    问题描述

    最近 java-1.8.0-openjdk 修复了多个漏洞,这些漏洞可用来突破 Java 沙盒限制,引起信息泄露,降低安全强度等,建议所有使用 java-1.8.0-openjdk 的 BCLinux 用户都安装 BCLinux 提供的升级包,升级包包含了修复这些漏洞的补丁文件。

    影响版本

    • BigCloud Enterprise Linux 7
    • BigCloud Enterprise Linux 6
    • Red Hat Enterprise Linux 7
    • Red Hat Enterprise Linux 6
    • CentOS Linux 7
    • CentOS Linux 6

    详细介绍

    java-1.8.0-openjdk 软件包提供了 OpenJDK 8 Java 运行时环境和用于编译、执行 Java 程序的 OpenJDK 8 Java 软件开发包。

    1. CVE-2016-0686

      OpenJDK 的 Serialization 组件中的 ObjectInputStream 类在反序列化序列输入时不能保证线程的一致性,非信任 Java 应用可利用这个漏洞绕过 Java 的沙盒限制。

    2. CVE-2016-0687

      OpenJDK 的 Hotspot 组件不能正确处理字节类型,非信任 Java 应用可利用这个漏洞毁坏 Java 虚拟机的内存,并绕过 Java 的沙盒限制执行任意代码。

    3. CVE-2016-0695

      Security 组件在生成 DSA 签名时不能检查摘要式算法的强度。使用比秘钥强度低的摘要会生成比预期更弱的签名。

    4. CVE-2016-3425

      JAXP 组件不能正确处理用于 XML 属性值的 Unicode 代理对。伪造的 XML 输入会引起 Java 应用消耗过量的内存。

    5. CVE-2016-3426

      JCE 组件中的 GCM (Galois/Counter Mode) 实现在比较 GCM 验证标签时使用的是非恒定的时间比较。远程攻击者可利用这个漏洞判断出验证标签的值。

    6. CVE-2016-3427

      JMX 组件中的 RMI 服务器实现没有限制那些类可以被反序列化。未验证的远程攻击者可以通过连接一个 JMX 端口利用该漏洞触发反序列化漏洞。

    解决方案

    目前,BCLinux 的官方源已经提供 java-1.8.0-openjdk 更新软件包,版本: 1.8.0.91-0.b14 ,更新方法:

    1. 检查YUM源设置,确保使用的是 BCLinux 官方 YUM 源

      [root@BCLinux ~]# ll /etc/yum.repos.d/
      total 24  
      -rw-r--r-- 1 root root 1038 Mar 10 04:46 BCLinux-Base.repo  
      -rw-r--r-- 1 root root 1053 Oct 19 21:18 BCLinux-Source.repo  
      -rw-r--r-- 1 root root 1184 Oct 19 21:18 BigCloud.repo
      
    2. 安装更新

      [root@BCLinux ~]# yum update java-1.8.0-openjdk
      Loaded plugins: fastestmirror
      Loading mirror speeds from cached hostfile
      Resolving Dependencies
      --> Running transaction check
      ---> Package java-1.8.0-openjdk.x86_64 0:1.8.0.91-0.b14.el6_7 will be updated
      --> Finished Dependency Resolution
      
      Dependencies Resolved
      
      ===============================================================================================================================================================================================
      Package                                      Arch                                    Version                                                   Repository                                Size
      ===============================================================================================================================================================================================
      Updating:
      java-1.8.0-openjdk                           x86_64                                  1.8.0.91-0.b14.el6_7                                      updates                                   793 k
      
      Transaction Summary
      ===============================================================================================================================================================================================
      Upgrade  1 Package
      
      Total download size: 793 k
      Installed size: 2.3 M
      
    1. 复查

      [root@BCLinux ~]# rpm -qa | grep java-1.8.0-openjdk
      java-1.8.0-openjdk-1.8.0.91-0.b14.el6_7.x86_64
      
    2. 重启服务

      安装升级包以后,所有的 OpenJDK 运行实例必须重启。

    外部链接:

    1. BCLinux 安全更新