java 1.8.0 安全_RedHat安全更新修复OpenJDK1.8.0版本漏洞
综述
RedHat发布安全补丁通告,修复了多个java-1.8.0-openjdk的安全问题。
相关链接:
https://access.redhat.com/errata/RHSA-2018:0095
漏洞概述
在OpenJDK的Hotspot和AWT组件中发现了多个缺陷。不可信的Java应用程序或小程序可以使用这些漏洞绕过某些Java沙箱限制。(CVE-2018-2582,CVE-2018-2641)
OpenJDK的JNDI组件中的LDAPCertStore类未能安全地处理LDAP引用。攻击者可能使用这个漏洞获取证书数据。(CVE-2018-2633)
使用HTTP/SPNEGO身份验证时,OpenJDK的JGSS组件忽略javax.security.auth.useSubjectCredsOnly属性的值,并始终使用全局凭据。这会导致全局凭据被不可信的Java应用程序使用。(CVE-2018-2634)
在某些情况下,OpenJDK的JMX组件无法正确设置SingleEntryRegistry的反序列化过滤器。远程攻击者可能会利用这个漏洞绕过预期的反序列化限制。(CVE-2018-2637)
OpenJDK的LDAP组件在把它们添加到LDAP搜索查询时未能正确地对用户名中的特殊字符进行编码。远程攻击者可能使用这个漏洞来操纵LdapLoginModule类执行的LDAP查询。(CVE-2018-2588)
OpenJDK的JNDI组件中的DNS客户端在发送DNS查询时没有使用随机源端口。这可能会使远程攻击者更容易欺骗对这些查询的响应。(CVE-2018-2599)
OpenJDK的I18n组件在加载资源包类时可以使用不可信的搜索路径。本地攻击者可能使用这个漏洞,通过使Java应用程序加载攻击者控制的类文件来执行另一本地用户的任意代码。(CVE-2018-2602)
OpenJDK的Libraries组件未能充分限制读取DER编码输入时分配的内存量。如果远程攻击者解析了攻击者提供的DER编码输入,则远程攻击者可能会利用这个漏洞使Java应用程序使用过多的内存。(CVE-2018-2603)
OpenJDK的JCE组件中的密钥协议实现并不能保证足够强大的已使用密钥来充分保护生成的共享密钥。这可以使攻击密钥协议而不是使用协商秘密的加密破坏数据加密更容易。(CVE-2018-2618)
在某些情况下,OpenJDK的JGSS组件在本地GSS库封装器中未能正确处理GSS上下文。远程攻击者可能使用JGSS来使Java应用程序使用先前释放的上下文。(CVE-2018-2629)
OpenJDK的库,AWT和JNDI组件中的多个类在从序列化表单创建对象实例时没有充分验证输入。特制的输入可能会导致Java应用程序创建具有不一致状态的对象,或者在反序列化时使用过多的内存。(CVE-2018-2663,CVE-2018-2677,CVE-2018-2678)
OpenJDK的Libraries组件中的多个加密密钥类没有正确地同步对其内部数据的访问。这可能会导致多线程Java应用程序对数据应用弱加密,因为使用了已被清零的密钥。(CVE-2018-2579)
受影响的产品版本
Red Hat Enterprise Linux Server 7 x86_64
Red Hat Enterprise Linux Server 6 x86_64
Red Hat Enterprise Linux Server 6 i386
Red Hat Enterprise Linux Server - Extended Update Support 7.4 x86_64
Red Hat Enterprise Linux Server - AUS 7.4 x86_64
Red Hat Enterprise Linux Workstation 7 x86_64
Red Hat Enterprise Linux Workstation 6 x86_64
Red Hat Enterprise Linux Workstation 6 i386
Red Hat Enterprise Linux Desktop 7 x86_64
Red Hat Enterprise Linux Desktop 6 x86_64
Red Hat Enterprise Linux Desktop 6 i386
Red Hat Enterprise Linux for IBM z Systems 7 s390x
Red Hat Enterprise Linux for IBM z Systems - Extended Update Support 7.4 s390x
Red Hat Enterprise Linux for Power big endian 7 ppc64
Red Hat Enterprise Linux for Power big endian - Extended Update Support 7.4 ppc64
Red Hat Enterprise Linux for Scientific Computing 7 x86_64
Red Hat Enterprise Linux for Power little endian 7 ppc64le
Red Hat Enterprise Linux for Scientific Computing 6 x86_64
Red Hat Enterprise Linux EUS Compute Node 7.4 x86_64
Red Hat Enterprise Linux for Power little endian - Extended Update Support 7.4 ppc64le
Red Hat Enterprise Linux Server - TUS 7.4 x86_64
Red Hat Enterprise Linux for ARM 64 7 aarch64
Red Hat Enterprise Linux for Power 9 7 ppc64le
Red Hat Enterprise Linux Server (for IBM Power LE) - 4 Year Extended Update Support 7.4 ppc64le
Red Hat Enterprise Linux Server - 4 Year Extended Update Support 7.4 x86_64
修复情况
BJ - 1534263 - CVE-2018-2678 OpenJDK:
BasicAttributes反序列化中的无限内存分配(JNDI,8191142)
BZ - 1534288 - CVE-2018-2677 OpenJDK:
反序列化期间的无限内存分配(AWT,8190289)
BZ - 1534296 - CVE-2018-2663 OpenJDK:
ArrayBlockingQueue反序列化为不一致状态(库,8189284)
BZ - 1534298 - CVE-2018-2579 OpenJDK:
对加密密钥数据的非同步访问(库,8172525)
BZ - 1534299 - CVE-2018-2588 OpenJDK:
LdapLoginModule LDAP查询中用户名编码不足(LDAP,8178449)
BZ - 1534525 - CVE-2018-2602 OpenJDK:
从不受信任的位置加载类(I18n,8182601)
BZ - 1534543 - CVE-2018-2599 OpenJDK:
DnsClient缺少源端口随机化(JNDI,8182125)
BZ - 1534553 - CVE-2018-2603 OpenJDK:
DerValue无限内存分配(库,8182387)
BJ - 1534625 - CVE-2018-2629 OpenJDK:
GSS上下文使用后免费(JGSS,8186212)
BZ - 1534762 - CVE-2018-2618 OpenJDK:
密钥协议不足(JCE,8185292)
BJ - 1534766 - CVE-2018-2641 OpenJDK:
GTK库加载后使用(AWT,8185325)
BZ - 1534768 - CVE-2018-2582 OpenJDK:
invokeinterface指令的验证不足(Hotspot,8174962)
BZ - 1534943 - CVE-2018-2634 OpenJDK:
使用HTTP / SPNEGO的全局凭证(JGSS,8186600)
BZ - 1534970 - CVE-2018-2637 OpenJDK:
SingleEntryRegistry反序列化过滤器的错误设置(JMX,8186998)
BZ - 1535036 - CVE-2018-2633 OpenJDK:
LDAPCertStore不安全处理LDAP引用(JNDI,8186606)
解决方案
用户应该及时升级进行防护,关于如何应用此次更新来修复上述漏洞,请参考:
https://access.redhat.com/articles/11258
声 明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
java 1.8.0 安全_RedHat安全更新修复OpenJDK1.8.0版本漏洞相关推荐
- TensorFlow 1.8.0正式发布,Bug修复和改进内容都在这里了
译者 | 王柯凝 编辑 | Just 出品 | AI科技大本营(公众号ID:rgznai100) [导语]TensorFlow 1.8.0 近日正式发布,新版本主要有以下改进内容,AI科技大本营对其编 ...
- TensorFlow1.8.0正式发布,Bug修复和改进内容都在这里了
译者 | 王柯凝 编辑 | Just 出品 | AI科技大本营(公众号ID:rgznai100) [导语]TensorFlow 1.8.0 近日正式发布,新版本主要有以下改进内容,AI科技大本营对其编 ...
- 【直播预告】云栖直播:阿里热修复产品HotFix2.0升级详解
全面--你知道吗?1891年,卡尔森纳做出的第一把瑞士×××,只有螺丝刀和开罐器.经过一代又一代能工巧匠的打磨,这把刀陆续增加了锯子.剪刀.镊子.放大镜.改锥,甚至内藏激光.LED手电筒.USB记忆碟 ...
- LastPass 释出安全更新修复高危漏洞
行的密码管理器 LastPass 释出了紧急安全更新修复 Google Project Zero 研究员 Tavis Ormandy 报告的严重漏洞,它建议用户尽可能快的升级到 4.1.44 版本.漏 ...
- Java黑皮书课后题第4章:*4.7(顶点坐标)假设一个正五边形的中心位于(0,0),其中一个点位于0点位置。编写程序,提示用户输入正五边形外接圆的半径,显示p1到p5的5个坐标,保留两位小数
*4.7(顶点坐标)假设一个正五边形的中心位于(0,0),其中一个点位于0点位置.编写程序,提示用户输入正五边形外接圆的半径,显示p1到p5为5个坐标,保留两位小数 题目 题目概述 运行示例 破题 代 ...
- java.io.EOFException: Chunk stream does not exist at page: 0
http://www.cnblogs.com/kaka/archive/2012/03/15/2398215.html ActiveMQ 启动异常 在按照 <ActiveMQ in Action ...
- Java EE 7:带有Glassfish v4的JMS 2.0
Java EE 7最近已被执行委员会接受 . 这意味着我们很快将在市场上提供Java EE 7应用服务器. 构成Java EE 7的规范之一是JMS 2.0 . 自1.1版以来,引入了一些有趣的改进. ...
- 派单o2o全开源版 v11.6.0 全新UI版 修复短信问题 小程序模块
介绍: 派单o2o全开源版 v11.6.0 全新UI版 修复短信问题 小程序模块 自动发单,挑选服务人员或商家,根据用户实际情况可选上门预约或到店服务.在线预约技师,灵活匹配合适技师.购物模块,可选择 ...
- 关于glusterfs-3.0.4中AFR修复的一个bug
夜深了,困扰了我好几天的bug今天终于让我揪出来了,有点如释重负的感觉. 问题描述: 在AFR冗余度为2的glusterfs3.0.4系统上,创建虚拟机(img文件),然后启动虚拟机,然后宕掉AFR一 ...
最新文章
- jQuery 实战读书笔记之第四章:使用特性、属性和数据
- 2019天梯赛(总结-无题解)
- 浅谈域名发散与域名收敛
- 时光机穿梭---撤销修改
- 基础知识—数据类型-常量及符号
- android 短信ril移植,将Android平台的RIL层移植到基于LINUX的通用平台的研究与实现...
- 高德地图+Serverless 护航你的假日出行
- 【李宏毅2020 ML/DL】P17 Convolutional Neural Network
- open cv+C++错误及经验总结(三)
- python中使用Opencv进行人脸检测
- 查看oracle是否删除干净,n你好,之前卸载了oracle,该怎么查看以前Oracle卸载干净没?...
- 微信小程序的转发分享功能
- 超全整理:程序员都在用什么工具?
- GVIDO MUSIC向德意志唱片公司成立120周年 Special Gala Concert Presented by 小泽征尔 斋藤纪念管弦乐团提供赞助
- php 抽奖活动_PHP实现活动人选抽奖功能
- Tomcat使用总结
- CCF CSP 201609-2 火车购票(C++语言100分)[简单模拟题]
- 2022年5个人工智能趋势
- 电子商务系统怎么开发,有哪些流程_OctShop
- 九部比《五十度灰》更血脉喷张的电影,个个看完都会让人欲罢不能!