1.修復(fù)的CVE ·CVE-2014-3566 描述：OpenSSL是Openssl團(tuán)隊的一個開源的能夠?qū)崿F(xiàn)安全套接層（SSLv2/v3）和安全傳輸層（TLSv1）協(xié)議的通用加密庫。該產(chǎn)品支持多種加密算法，包括對稱密碼、哈希算法、安全散列算法等。OpenSSL 1.0.1i及之前版本中使用的SSL protocol 3.0版本中存在加密問題漏洞，該漏洞源于程序使用非確定性的CBC填充。攻擊者可借助padding-oracle攻擊利用該漏洞實施中間人攻擊，獲取明文數(shù)據(jù)。 ·CVE-2016-0686 描述：Oracle Java SE 6u113、7u99和8u77以及Java SE Embedded 8u77中存在未明漏洞，遠(yuǎn)程攻擊者可借助與序列化相關(guān)的向量影響機(jī)密性、完整性和可用性。 ·CVE-2016-5542 描述：我們發(fā)現(xiàn)OpenJDK的Libraries組件沒有限制用于JAR完整性驗證的算法集。此漏洞允許攻擊者修改使用弱簽名密鑰或哈希算法的JAR文件的內(nèi)容。 ·CVE-2016-5546 描述：我們發(fā)現(xiàn)OpenJDK的Libraries組件使用非規(guī)范的DER編碼接受ECDSA簽名。這可能導(dǎo)致Java應(yīng)用程序以其他加密工具無法接受的錯誤格式接受簽名。 ·CVE-2016-5547 描述：我們發(fā)現(xiàn)OpenJDK的Libraries組件在分配內(nèi)存來存儲OID之前沒有驗證從DER輸入讀取的對象標(biāo)識符的長度。攻擊者能夠使Java應(yīng)用程序解碼巧盡心思構(gòu)建的DER輸入，可能會導(dǎo)致應(yīng)用程序消耗過多內(nèi)存。 ·CVE-2016-5548 描述：在OpenJDK的Libraries組件的DSA實現(xiàn)中發(fā)現(xiàn)了一個隱蔽的定時通道缺陷。遠(yuǎn)程攻擊者可能利用此漏洞通過定時側(cè)通道提取有關(guān)所用密鑰的特定信息。 ·CVE-2016-5552 描述：我們發(fā)現(xiàn)OpenJDK的網(wǎng)絡(luò)組件無法正確解析URL中的用戶信息。遠(yuǎn)程攻擊者可能會導(dǎo)致Java應(yīng)用程序錯誤地解析攻擊者提供的URL，并以與處理同一URL的其他應(yīng)用程序不同的方式對其進(jìn)行解釋。 ·CVE-2016-5554 描述：在OpenJDK的JMX組件處理類加載器的方式中發(fā)現(xiàn)了一個缺陷。不受信任的Java應(yīng)用程序或小程序可以利用此缺陷繞過某些Java沙盒限制。 ·CVE-2016-5573 描述：我們發(fā)現(xiàn)OpenJDK的熱點組件沒有正確檢查接收到的Java調(diào)試線協(xié)議（JDWP）包。如果攻擊者能夠使受害者的瀏覽器向調(diào)試應(yīng)用程序的JDWP端口發(fā)送HTTP請求，則攻擊者可能會利用此漏洞向運(yùn)行調(diào)試的Java程序發(fā)送調(diào)試命令。 ·CVE-2016-5597 描述：在OpenJDK的網(wǎng)絡(luò)組件處理HTTP代理身份驗證的方式中發(fā)現(xiàn)了一個缺陷。如果代理請求身份驗證，Java應(yīng)用程序可能會通過純文本網(wǎng)絡(luò)連接到HTTP代理來公開HTTPS服務(wù)器身份驗證憑據(jù)。 2.受影響的軟件包 ·中標(biāo)麒麟高級服務(wù)器操作系統(tǒng) V6 ·x86_64架構(gòu): java-1.7.0-openjdk、java-1.7.0-openjdk-demo、java-1.7.0-openjdk-devel、java-1.7.0-openjdk-javadoc、java-1.7.0-openjdk-src 3.軟件包修復(fù)版本 ·中標(biāo)麒麟高級服務(wù)器操作系統(tǒng) V6 (x86_64) java-1.7.0-openjdk-1.7.0.131-2.6.9.0.el6_8.ns6.00或以上版本 java-1.7.0-openjdk-demo-1.7.0.131-2.6.9.0.el6_8.ns6.00或以上版本 java-1.7.0-openjdk-devel-1.7.0.131-2.6.9.0.el6_8.ns6.00或以上版本 java-1.7.0-openjdk-javadoc-1.7.0.131-2.6.9.0.el6_8.ns6.00或以上版本 java-1.7.0-openjdk-src-1.7.0.131-2.6.9.0.el6_8.ns6.00或以上版本 4.修復(fù)方法 方法一：配置源進(jìn)行升級安裝 1.打開軟件包源配置文件，根據(jù)倉庫地址進(jìn)行修改。 倉庫源地址： 中標(biāo)麒麟高級服務(wù)器操作系統(tǒng) V6 x86_64:https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/ 2.配置完成后執(zhí)行更新命令進(jìn)行升級，命令如下： yum update Packagename 方法二：下載安裝包進(jìn)行升級安裝 通過軟件包地址下載軟件包，使用軟件包升級命令根據(jù)受影響的軟件包 列表進(jìn)行升級安裝, 命令如下： yum install Packagename 3.升級完成后是否需要重啟服務(wù)或操作系統(tǒng)： CVE-2014-3566:需要重啟 java-1.7.0-openjdk 以使漏洞修復(fù)生效。 CVE-2016-0686:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。 CVE-2016-5542:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。 CVE-2016-5546:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。 CVE-2016-5547:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。 CVE-2016-5548:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。 CVE-2016-5552:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。 CVE-2016-5554:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。 CVE-2016-5573:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。 CVE-2016-5597:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。 5.軟件包下載地址 ·中標(biāo)麒麟高級服務(wù)器操作系統(tǒng) V6 java-1.7.0-openjdk(x86_64)軟件包下載地址: https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/Packages/java-1.7.0-openjdk-1.7.0.131-2.6.9.0.el6_8.ns6.00.x86_64.rpm https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/Packages/java-1.7.0-openjdk-demo-1.7.0.131-2.6.9.0.el6_8.ns6.00.x86_64.rpm https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/Packages/java-1.7.0-openjdk-devel-1.7.0.131-2.6.9.0.el6_8.ns6.00.x86_64.rpm https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/Packages/java-1.7.0-openjdk-javadoc-1.7.0.131-2.6.9.0.el6_8.ns6.00.noarch.rpm https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/Packages/java-1.7.0-openjdk-src-1.7.0.131-2.6.9.0.el6_8.ns6.00.x86_64.rpm 注：其他相關(guān)依賴包請到相同目錄下載 6.修復(fù)驗證 使用軟件包查詢命令，查看相關(guān)軟件包版本是否與修復(fù)版本一致，如果版本一致，則說明修復(fù)成功。 sudo rpm -qa | grep Packagename