AG公司

English

清静产品与计划
行业解决计划
清静服务与运营
清静研究
相助同伴
手艺支持

基础设施清静
数据清静
云盘算清静
AI清静
工业互联网清静
物联网清静
信息手艺应用立异
所有产品
所有解决计划

基础设施清静

网络清静

清静治理

应用清静

终端清静

身份与会见治理

解决计划

CH

EN

清静产品与计划

基础设施清静网络清静清静治理应用清静终端清静身份与会见治理解决计划数据清静数据清静产品解决计划云盘算清静云盘算清静产品解决计划 AI清静 AI清静产品解决计划工业互联网清静工业互联网清静产品解决计划物联网清静物联网清静产品解决计划信息手艺应用立异信创类清静产品
行业解决计划

政府运营商金融能源交通企业科教文卫
清静服务与运营

基础服务清静咨询清静测试清静运维应急响应清静开发场景服务红蓝对抗重保支持数据清静服务DSS 勒索评估服务RPG 企业清静运营中心建设SOC 蓝军一体化平台NICP 自动化渗透测试工具EZ 清静运营服务 AG公司网站清静监测服务Websafe AG公司黑洞云洗濯服务 CCSS AG公司网站云防护服务 WCP AG公司威胁情报中心NTI AG公司科技威胁情报云端解决计划 AG公司科技威胁情报外地解决计划 AG公司威胁检测与响应服务MDR AG公司外部攻击面治理服务EASM AG公司轻量化渗透测试服务PTaaS 智慧都会清静运营智慧都会清静运营 AG公司云 AG公司云
清静研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2024年度报告清静通告威胁通告
相助同伴

相助同伴相助同伴动态成为相助同伴申请成为相助同伴
手艺支持

服务支持服务热线盟管家服务维保服务产品支持产品清静产品手册常见问题产品生命周期通告软件升级北京AG公司公益基金会鲲鹏基金产品清静软件升级

返回列表

RedHat清静更新修复OpenJDK1.8.0版本误差

2018-01-19

宣布者：AG公司科技

综述
RedHat宣布清静补丁通告，修复了多个java-1.8.0-openjdk的清静问题。
相关链接：
https://access.redhat.com/errata/RHSA-2018:0095

误差概述

? 在OpenJDK的Hotspot和AWT组件中发明了多个缺陷。不可信的Java应用程序或小程序可以使用这些误差绕过某些Java沙箱限制。（CVE-2018-2582，CVE-2018-2641）
? OpenJDK的JNDI组件中的LDAPCertStore类未能清静地处置惩罚LDAP引用。攻击者可能使用这个误差获取证书数据。（CVE-2018-2633）
? 使用HTTP/SPNEGO身份验证时，OpenJDK的JGSS组件忽略javax.security.auth.useSubjectCredsOnly属性的值，并始终使用全局凭证。这会导致全局凭证被不可信的Java应用程序使用。（CVE-2018-2634）
? 在某些情形下，OpenJDK的JMX组件无法准确设置SingleEntryRegistry的反序列化过滤器。远程攻击者可能会使用这个误差绕过预期的反序列化限制。（CVE-2018-2637）
? OpenJDK的LDAP组件在把它们添加到LDAP搜索盘问时未能准确地对用户名中的特殊字符举行编码。远程攻击者可能使用这个误差来使用LdapLoginModule类执行的LDAP盘问。（CVE-2018-2588）
? OpenJDK的JNDI组件中的DNS客户端在发送DNS盘问时没有使用随机源端口。这可能会使远程攻击者更容易诱骗对这些盘问的响应。（CVE-2018-2599）
? OpenJDK的I18n组件在加载资源包类时可以使用不可信的搜索路径。外地攻击者可能使用这个误差，通过使Java应用程序加载攻击者控制的类文件来执行另一外地用户的恣意代码。（CVE-2018-2602）
? OpenJDK的Libraries组件未能充分限制读取DER编码输入时分派的内存量。若是远程攻击者剖析了攻击者提供的DER编码输入，则远程攻击者可能会使用这个误差使Java应用程序使用过多的内存。（CVE-2018-2603）
? OpenJDK的JCE组件中的密钥协议实现并不可包管足够强盛的已使用密钥来充分�；ぬ焐墓蚕砻茉�。这可以使攻击密钥协议而不是使用协商神秘的加密破损数据加密更容易。（CVE-2018-2618）
? 在某些情形下，OpenJDK的JGSS组件在外地GSS库封装器中未能准确处置惩罚GSS上下文。远程攻击者可能使用JGSS来使Java应用程序使用先前释放的上下文。（CVE-2018-2629）
? OpenJDK的库，AWT和JNDI组件中的多个类在从序列化表单建设工具实例时没有充分验证输入。特制的输入可能会导致Java应用程序建设具有纷歧致状态的工具，或者在反序列化时使用过多的内存。（CVE-2018-2663，CVE-2018-2677，CVE-2018-2678）
? OpenJDK的Libraries组件中的多个加密密钥类没有准确地同步对其内部数据的会见。这可能会导致多线程Java应用程序对数据应用弱加密，由于使用了已被清零的密钥。（CVE-2018-2579）

受影响的产品版本

? Red Hat Enterprise Linux Server 7 x86_64
? Red Hat Enterprise Linux Server 6 x86_64
? Red Hat Enterprise Linux Server 6 i386
? Red Hat Enterprise Linux Server - Extended Update Support 7.4 x86_64
? Red Hat Enterprise Linux Server - AUS 7.4 x86_64
? Red Hat Enterprise Linux Workstation 7 x86_64
? Red Hat Enterprise Linux Workstation 6 x86_64
? Red Hat Enterprise Linux Workstation 6 i386
? Red Hat Enterprise Linux Desktop 7 x86_64
? Red Hat Enterprise Linux Desktop 6 x86_64
? Red Hat Enterprise Linux Desktop 6 i386
? Red Hat Enterprise Linux for IBM z Systems 7 s390x
? Red Hat Enterprise Linux for IBM z Systems - Extended Update Support 7.4 s390x
? Red Hat Enterprise Linux for Power big endian 7 ppc64
? Red Hat Enterprise Linux for Power big endian - Extended Update Support 7.4 ppc64
? Red Hat Enterprise Linux for Scientific Computing 7 x86_64
? Red Hat Enterprise Linux for Power little endian 7 ppc64le
? Red Hat Enterprise Linux for Scientific Computing 6 x86_64
? Red Hat Enterprise Linux EUS Compute Node 7.4 x86_64
? Red Hat Enterprise Linux for Power little endian - Extended Update Support 7.4 ppc64le
? Red Hat Enterprise Linux Server - TUS 7.4 x86_64
? Red Hat Enterprise Linux for ARM 64 7 aarch64
? Red Hat Enterprise Linux for Power 9 7 ppc64le
? Red Hat Enterprise Linux Server (for IBM Power LE) - 4 Year Extended Update Support 7.4 ppc64le
? Red Hat Enterprise Linux Server - 4 Year Extended Update Support 7.4 x86_64

修复情形

? BJ - 1534263 - CVE-2018-2678 OpenJDK：
BasicAttributes反序列化中的无限内存分派（JNDI，8191142）
? BZ - 1534288 - CVE-2018-2677 OpenJDK：
反序列化时代的无限内存分派（AWT，8190289）
? BZ - 1534296 - CVE-2018-2663 OpenJDK：
ArrayBlockingQueue反序列化为纷歧致状态（库，8189284）
? BZ - 1534298 - CVE-2018-2579 OpenJDK：
对加密密钥数据的非同步会见（库，8172525）
? BZ - 1534299 - CVE-2018-2588 OpenJDK：
LdapLoginModule LDAP盘问中用户名编码缺乏（LDAP，8178449）
? BZ - 1534525 - CVE-2018-2602 OpenJDK：
从不受信托的位置加载类（I18n，8182601）
? BZ - 1534543 - CVE-2018-2599 OpenJDK：
DnsClient缺少源端口随机化（JNDI，8182125）
? BZ - 1534553 - CVE-2018-2603 OpenJDK：
DerValue无限内存分派（库，8182387）
? BJ - 1534625 - CVE-2018-2629 OpenJDK：
GSS上下文使用后免费（JGSS，8186212）
? BZ - 1534762 - CVE-2018-2618 OpenJDK：
密钥协议缺乏（JCE，8185292）
? BJ - 1534766 - CVE-2018-2641 OpenJDK：
GTK库加载后使用（AWT，8185325）
? BZ - 1534768 - CVE-2018-2582 OpenJDK：
invokeinterface指令的验证缺乏（Hotspot，8174962）
? BZ - 1534943 - CVE-2018-2634 OpenJDK：
使用HTTP / SPNEGO的全局凭证（JGSS，8186600）
? BZ - 1534970 - CVE-2018-2637 OpenJDK：
SingleEntryRegistry反序列化过滤器的过失设置（JMX，8186998）
? BZ - 1535036 - CVE-2018-2633 OpenJDK：
LDAPCertStore不清静处置惩罚LDAP引用（JNDI，8186606）

解决计划

用户应该实时升级举行防护，关于怎样应用此次更新来修复上述误差，请参考：

https://access.redhat.com/articles/11258

声明

本清静通告仅用来形貌可能保存的清静问题，AG公司科技不为此清静通告提供任何包管或允许。由于撒播、使用此清静通告所提供的信息而造成的任何直接或者间接的效果及损失，均由使用者自己认真，AG公司科技以及清静通告作者不为此肩负任何责任。AG公司科技拥有对此清静通告的修改息争释权。如欲转载或撒播此清静通告，必需包管此清静通告的完整性，包括版权声明等所有内容。未经AG公司科技允许，不得恣意修改或者增减此清静通告内容，不得以任何方法将其用于商业目的。

<<上一篇

Oracle全系产品2018年1月要害补丁更新

>>下一篇

ElectronJs远程代码执行误差（CVE-2018-1000006）

?

您的联系方法

购置热线

提交项目需求

接待加入AG公司科技，成为我们的相助同伴！

*请形貌您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方法

*姓名
*联系电话
*邮箱
*职务
*公司
*都会
*行业
*验证码
提交到邮箱

AG公司(中国集团)·有限公司官网

AG公司(中国集团)·有限公司官网

服务支持

智能客服

智能客服

购置/售后手艺问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

点击进入

支持热线

支持热线

400-818-6868

AG公司科技社区

AG公司科技社区

资料下载|在线问答|手艺交流

点击进入

信息清静

网站地图| 执法声明| 投资者关系

关于AG公司: 公司先容; 公司声誉; AG公司书橱; AG公司新闻; 事情时机

怎样购置: 提交项目需求; 请求回电; 购置热线

联系AG公司: 公司总部; 分支机构; 全球分支机构

清廉建设和举报: 举报说明; 举报奖励; 包管制度

快速链接: AG公司云; AG公司威胁情报中心NTI; TechWorld手艺嘉年华; 北京AG公司公益基金会; 手艺博客; 乐成案例

微博

微信

B站

抖音

视频号

视频号

视频号

服务热线

400-818-6868

服务时间

7*24小时

? 2026 NSFOCUS AG公司科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证110355号