Обновление свободного Java-пакета IcedTea6 с устранением уязвимостей
Доступны обновления пакета IcedTea6 1.7.5, 1.8.2 и 1.9.1, полностью открытой реализации Java SE 6, в которых устранено 18 уязвимостей, также исправленных сегодня утром в Java SE 6 Update 22:- CVE-2010-3565: удаленное исполнение кода при обработке JPEG-изображений;
- CVE-2010-3566: удаленное исполнение кода в OpenJDK ICC Profile;
- CVE-2009-3555: возможность проведения атаки "Man in The middle" для TLS-соединений;
- CVE-2010-3568: Deserialization Race condition;
- CVE-2010-3554: проблемы с рефлексией в corba;
- CVE-2010-3562: двойная очистка памяти в IndexColorModel ;
- CVE-2010-3557: Swing mutable static;
- CVE-2010-3548: утечка информации об IP адресах DNS-серевера;
- CVE-2010-3564: уязвимость в kerberos;
- CVE-2010-3569: некорректная сериализация в OpenJDK;
- CVE-2010-3553: небезопасное использование UIDefault.ProxyLazyValue;
- CVE-2010-3561: возможность приема соединения от любого хоста в ServerSocket.accept;
- CVE-2010-3549: проблемы с кодировкой chunked-запросов; HttpURLConnection (разбиение Http-запроса на части);
- CVE-2010-3551: получение информации об адресах через NetworkInterface;
- CVE-2010-3541, CVE-2010-3573, CVE-2010-3574: обход ограничений на установку некоторых заголовков запроса, Cookie и TRACE-метода в HttpURLConnection;
- CVE-2010-3567: вызов краха движка ICU Opentype через передачу специально оформленных строковых последовательностей;
Пакет IcedTea построен на базе OpenJDK6 и виртуальной машины HotSpot, с использованием свободных средств сборки, интеграцией компилятора gcj (GNU Compiler for Java), реализацией некоторых дополнительных возможностей (64-разрядный плагин для LiveConnect и Java Web Start) и расширенной поддержкой платформ.
© OpenNet