Oracle Java sérülékenységek

CH azonosító

Angol cím

Felfedezés dátuma

Súlyosság

Érintett rendszerek

Érintett verziók

Oracle Java JDK 1.5.x / 5.x
Oracle Java JDK 1.7.x / 7.x
Oracle Java JRE 1.7.x / 7.x
Oracle Java SDK 1.4.x / 4.x
Sun Java JDK 1.4.x
Sun Java JDK 1.6.x / 6.x
Sun Java JRE 1.4.x / 4.x
Sun Java JRE 1.5.x / 5.x
Sun Java JRE 1.6.x / 6.x

Összefoglaló

Az Oracle Java több sérülékenységét jelentették, amiket kihasználva a támadók bizalmas információkat szerezhetnek, módosíthatnak egyes adatokat, illetve feltörhetik a felhasználó rendszerét.

Leírás

1. A Deployment komponens egy nem részletezett hibáját kihasználva tetszőleges kódot lehet végrehajtani.
2. A JMX komponens egy nem részletezett hibáját kihasználva tetszőleges kódot lehet végrehajtani.
3. A Libraries komponens egy nem részletezett hibáját kihasználva tetszőleges kódot lehet végrehajtani.
4. A Libraries komponens egy nem részletezett hibáját kihasználva módosítani lehet egyes adatokat.
5. A Transport Layer Security (TLS) implementációban lévő CBS titkosítás egy hibáját kihasználva meg lehet ismerni az időzítési különbségeket, amikor a padding check történik. Ez kihasználható a plaintext egyes részeinek megismerésére timing támadással.

A sérülékenységeket az alábbi termékekben jelentették:

• JDK és JRE 7 Update 13 és korábbi verziók
• JDK és JRE 6 Update 39 és korábbi verziók
• JDK és JRE 5.0 Update 39 és korábbi verziók
• SDK és JRE 1.4.2_41 és korábbi verziók

Támadás típusa

Hatás

Szükséges hozzáférés

Hivatkozások

Gyártói referencia: www.oracle.com
Gyártói referencia: www.oracle.com
Egyéb referencia: www.isg.rhul.ac.uk
CVE-2013-0169 - NVD CVE-2013-0169
CVE-2013-1484 - NVD CVE-2013-1484
CVE-2013-1485 - NVD CVE-2013-1485
CVE-2013-1486 - NVD CVE-2013-1486
CVE-2013-1487 - NVD CVE-2013-1487
SECUNIA 52257