综述

RedHat发布安全补丁通告，修复了多个java-1.8.0-openjdk的安全问题。

相关链接：

https://access.redhat.com/errata/RHSA-2018:0095

漏洞概述

在OpenJDK的Hotspot和AWT组件中发现了多个缺陷。不可信的Java应用程序或小程序可以使用这些漏洞绕过某些Java沙箱限制。(CVE-2018-2582，CVE-2018-2641)

OpenJDK的JNDI组件中的LDAPCertStore类未能安全地处理LDAP引用。攻击者可能使用这个漏洞获取证书数据。(CVE-2018-2633)

使用HTTP/SPNEGO身份验证时，OpenJDK的JGSS组件忽略javax.security.auth.useSubjectCredsOnly属性的值，并始终使用全局凭据。这会导致全局凭据被不可信的Java应用程序使用。(CVE-2018-2634)

在某些情况下，OpenJDK的JMX组件无法正确设置SingleEntryRegistry的反序列化过滤器。远程攻击者可能会利用这个漏洞绕过预期的反序列化限制。(CVE-2018-2637)

OpenJDK的LDAP组件在把它们添加到LDAP搜索查询时未能正确地对用户名中的特殊字符进行编码。远程攻击者可能使用这个漏洞来操纵LdapLoginModule类执行的LDAP查询。(CVE-2018-2588)

OpenJDK的JNDI组件中的DNS客户端在发送DNS查询时没有使用随机源端口。这可能会使远程攻击者更容易欺骗对这些查询的响应。(CVE-2018-2599)

OpenJDK的I18n组件在加载资源包类时可以使用不可信的搜索路径。本地攻击者可能使用这个漏洞，通过使Java应用程序加载攻击者控制的类文件来执行另一本地用户的任意代码。(CVE-2018-2602)

OpenJDK的Libraries组件未能充分限制读取DER编码输入时分配的内存量。如果远程攻击者解析了攻击者提供的DER编码输入，则远程攻击者可能会利用这个漏洞使Java应用程序使用过多的内存。(CVE-2018-2603)

OpenJDK的JCE组件中的密钥协议实现并不能保证足够强大的已使用密钥来充分保护生成的共享密钥。这可以使攻击密钥协议而不是使用协商秘密的加密破坏数据加密更容易。(CVE-2018-2618)

在某些情况下，OpenJDK的JGSS组件在本地GSS库封装器中未能正确处理GSS上下文。远程攻击者可能使用JGSS来使Java应用程序使用先前释放的上下文。(CVE-2018-2629)

OpenJDK的库，AWT和JNDI组件中的多个类在从序列化表单创建对象实例时没有充分验证输入。特制的输入可能会导致Java应用程序创建具有不一致状态的对象，或者在反序列化时使用过多的内存。(CVE-2018-2663，CVE-2018-2677，CVE-2018-2678)

OpenJDK的Libraries组件中的多个加密密钥类没有正确地同步对其内部数据的访问。这可能会导致多线程Java应用程序对数据应用弱加密，因为使用了已被清零的密钥。(CVE-2018-2579)

受影响的产品版本

Red Hat Enterprise Linux Server 7 x86_64

Red Hat Enterprise Linux Server 6 x86_64

Red Hat Enterprise Linux Server 6 i386

Red Hat Enterprise Linux Server - Extended Update Support 7.4 x86_64

Red Hat Enterprise Linux Server - AUS 7.4 x86_64

Red Hat Enterprise Linux Workstation 7 x86_64

Red Hat Enterprise Linux Workstation 6 x86_64

Red Hat Enterprise Linux Workstation 6 i386

Red Hat Enterprise Linux Desktop 7 x86_64

Red Hat Enterprise Linux Desktop 6 x86_64

Red Hat Enterprise Linux Desktop 6 i386

Red Hat Enterprise Linux for IBM z Systems 7 s390x

Red Hat Enterprise Linux for IBM z Systems - Extended Update Support 7.4 s390x

Red Hat Enterprise Linux for Power big endian 7 ppc64

Red Hat Enterprise Linux for Power big endian - Extended Update Support 7.4 ppc64

Red Hat Enterprise Linux for Scientific Computing 7 x86_64

Red Hat Enterprise Linux for Power little endian 7 ppc64le

Red Hat Enterprise Linux for Scientific Computing 6 x86_64

Red Hat Enterprise Linux EUS Compute Node 7.4 x86_64

Red Hat Enterprise Linux for Power little endian - Extended Update Support 7.4 ppc64le

Red Hat Enterprise Linux Server - TUS 7.4 x86_64

Red Hat Enterprise Linux for ARM 64 7 aarch64

Red Hat Enterprise Linux for Power 9 7 ppc64le

Red Hat Enterprise Linux Server (for IBM Power LE) - 4 Year Extended Update Support 7.4 ppc64le

Red Hat Enterprise Linux Server - 4 Year Extended Update Support 7.4 x86_64

修复情况

BJ - 1534263 - CVE-2018-2678 OpenJDK：

BasicAttributes反序列化中的无限内存分配(JNDI，8191142)

BZ - 1534288 - CVE-2018-2677 OpenJDK：

反序列化期间的无限内存分配(AWT，8190289)

BZ - 1534296 - CVE-2018-2663 OpenJDK：

ArrayBlockingQueue反序列化为不一致状态(库，8189284)

BZ - 1534298 - CVE-2018-2579 OpenJDK：

对加密密钥数据的非同步访问(库，8172525)

BZ - 1534299 - CVE-2018-2588 OpenJDK：

LdapLoginModule LDAP查询中用户名编码不足(LDAP，8178449)

BZ - 1534525 - CVE-2018-2602 OpenJDK：

从不受信任的位置加载类(I18n，8182601)

BZ - 1534543 - CVE-2018-2599 OpenJDK：

DnsClient缺少源端口随机化(JNDI，8182125)

BZ - 1534553 - CVE-2018-2603 OpenJDK：

DerValue无限内存分配(库，8182387)

BJ - 1534625 - CVE-2018-2629 OpenJDK：

GSS上下文使用后免费(JGSS，8186212)

BZ - 1534762 - CVE-2018-2618 OpenJDK：

密钥协议不足(JCE，8185292)

BJ - 1534766 - CVE-2018-2641 OpenJDK：

GTK库加载后使用(AWT，8185325)

BZ - 1534768 - CVE-2018-2582 OpenJDK：

invokeinterface指令的验证不足(Hotspot，8174962)

BZ - 1534943 - CVE-2018-2634 OpenJDK：

使用HTTP / SPNEGO的全局凭证(JGSS，8186600)

BZ - 1534970 - CVE-2018-2637 OpenJDK：

SingleEntryRegistry反序列化过滤器的错误设置(JMX，8186998)

BZ - 1535036 - CVE-2018-2633 OpenJDK：

LDAPCertStore不安全处理LDAP引用(JNDI，8186606)

解决方案

用户应该及时升级进行防护，关于如何应用此次更新来修复上述漏洞，请参考：

https://access.redhat.com/articles/11258

声 明

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。