blob: 8d3cc0ed43d8e23bbe90569fb6970c8a193e1b8b (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
|
#use wml::debian::translation-check translation="b128ca5f062ffd92dfde8a7b5888d4e87ec075f2"
<define-tag description>複数の脆弱性</define-tag>
<define-tag moreinfo>
<p>複数の欠陥が Java プラットフォーム実装 OpenJDK に発見されました。</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2010-4351">CVE-2010-4351</a>
<p>
JNLP SecurityManager が、一部の条件下で checkPermission メソッド
から例外を投げることなく返るため、状況依存で攻撃者が ClassLoader
のインスタンスを作成することにより意図したセキュリティポリシーを
迂回することが可能です。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2010-4448">CVE-2010-4448</a>
<p>
悪意を持ったアプレットにより、DNS キャッシュポイゾニングが可能で
す。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2010-4450">CVE-2010-4450</a>
<p>
空で、かつ設定された LD_LIBRARY_PATH 環境変数によりライブラリサー
チパスを誤るため、信用できない提供元のコード実行を許します。
</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2010-4465">CVE-2010-4465</a>
<p>
悪意を持ったアプレットにより、Swing タイマーの悪用による特権の期
間延長が可能です。
</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2010-4469">CVE-2010-4469</a>
<p>
Hotspot just-in-time コンパイラが細工したバイトシーケンスのコンパ
イルを誤るため、ヒープ破壊を許します。
</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2010-4470">CVE-2010-4470</a>
<p>
JAXP は信用できないコードによる特権の昇格を許します。
</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2010-4471">CVE-2010-4471</a>
<p>
Java2D は信用できないコードによる特権の昇格を許します。
</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2010-4472">CVE-2010-4472</a>
<p>
XML DSIG 実装は信用できないコードで置き換え可能です。
</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-0025">CVE-2011-0025</a>
<p>
JAR ファイルの署名が適切に検証されていないため、リモ
ートの攻撃者がユーザを騙して信用できる提供元から提供されたように見
せかけたコードを実行させることが可能です。
</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-0706">CVE-2011-0706</a>
<p>JNLPClassLoader クラスは、複数の署名者と「不適切なセキュリティディ
スクリプタ」への代入に関連した未公開の攻撃手法によりリモートの攻撃
者からの特権の昇格を許します。
</p></li>
</ul>
<p>さらに、このセキュリティ更新では、この版の OpenJDK に特有の推奨
Hotspot の版 (hs14) への切替えなどの、安定性の修正が行われています。</p>
<p>旧安定版 (oldstable) ディストリビューション (lenny) では、これらの問題
はバージョン 6b18-1.8.7-2~lenny1 で修正されています。</p>
<p>安定版 (stable) ディストリビューション (squeeze) では、これらの問題は
バージョン 6b18-1.8.7-2~squeeze1 で修正されています。</p>
<p>テスト版 (wheezy) および不安定版 (unstable) ディストリビューションでは、
これらの問題はバージョン 1.8.7-1 で修正されています。</p>
<p>直ぐに openjdk-6 パッケージをアップグレードすることを勧めます。
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2011/dsa-2224.data"
# $Id$
|
