CH azonosító
CH-7024Angol cím
Oracle Java Multiple VulnerabilitiesFelfedezés dátuma
2012.06.12.Súlyosság
MagasÉrintett rendszerek
OracleSun Java Development Kit (JDK)
Sun Java Runtime Environment (JRE)
Sun Java SDK
Érintett verziók
Oracle Java JDK 1.7.x / 7.x
Oracle Java JRE 1.7.x / 7.x
Sun Java JDK 1.5.x
Sun Java JDK 1.6.x / 6.x
Sun Java JRE 1.4.x
Sun Java JRE 1.5.x / 5.x
Sun Java JRE 1.6.x / 6.x
Sun Java SDK 1.4.x
Összefoglaló
Az Oracle Java olyan sérülékenységei váltak ismertté, amelyeket a rosszindulatú helyi felhasználók kihasználhatnak bizalmas információk felfedésére, bizonyos adatok manipulálására és szolgáltatás megtagadás (DoS – Denial of Service) okozására, valamint a támadók cross-site scripting (XSS/CSS) támadások kezdeményezésére, bizalmas információk felfedésére, bizonyos adatok manipulálására, szolgáltatás megtagadás (DoS – Denial of Service) előidézésére a sérülékeny rendszer feltörésére.
Leírás
- A “BasicService.showDocument” Java Webstart függvény egy hibáját kihasználva további paraméterek átadását teszi lehetővé a böngészőnek, ami tetszőleges kód végrehajtását teszi lehetővé, az alapértelmezett bőngésző beállítástól függően.
- A Deployment alkomponensben található hiba a nem megbízható Java Web Start alkalmazásokkal és a kliensre telepített nem megbízható Java kisalkalmazásokkal (applet) használható ki.
- A Deployment alkomponensben található hiba a nem megbízható Java Web Start alkalmazásokkal és a kliensre telepített nem megbízható Java kisalkalmazásokkal (applet) használható ki.
- A Hotspot alkomponensben található hiba a nem megbízható Java Web Start alkalmazásokkal és a kliensre telepített nem megbízható Java kisalkalmazásokkal (applet) használható ki.
- A Hotspot alkomponensben található hiba a nem megbízható Java Web Start alkalmazásokkal és a kliensre telepített nem megbízható Java kisalkalmazásokkal (applet) használható ki.
- A Swing alkomponensben található hiba a nem megbízható Java Web Start alkalmazásokkal és a kliensre telepített nem megbízható Java kisalkalmazásokkal (applet) használható ki.
- A CORBA alkomponensben található hiba nem megbízható Java Web Start alkalmazásokkal és a kliensre telepített nem megbízható Java kisalkalmazásokkal (applet) kihasználható néhány adat felfedésére és manipulálására.
- A Libraries alkomponensben találaható hiba nem megbízható Java Web Start alkalmazásokkal és a kliensre telepített nem megbízható Java kisalkalmazásokkal (applet) kihasználható néhány adat felfedésére és manipulálására.
- A Deployment alkomponensben találaható hiba nem megbízható Java Web Start alkalmazásokkal és a kliensre telepített nem megbízható Java kisalkalmazásokkal (applet) kihasználható ki.
További információ: CERT-Hungary CH-6730 - A CORBA alkomponensben találaható hiba nem megbízható Java Web Start alkalmazásokkal és a kliensre telepített nem megbízható Java kisalkalmazásokkal (applet) kihasználható néhány adat felfedésére és manipulálására.
- A JAXP alkomponensben találaható hiba nem megbízható Java Web Start alkalmazásokkal és a kliensre telepített nem megbízható Java kisalkalmazásokkal (applet) vagy bizonyos API-k részére átadott speciálisan kialakított adatokkal kihasználható néhány adat felfedésére valamint szolgáltatás megtagadás (DoS – Denial of Service) előidézésére.
- A Security alkomponensben találaható hiba nem megbízható Java Web Start alkalmazásokkal és a kliensre telepített nem megbízható Java kisalkalmazásokkal (applet) vagy bizonyos API-k részére átadott speciálisan kialakított adatokkal kihasználható szolgáltatás megtagadás (DoS – Denial of Service) okozására.
- A Networking alkomponens egy hibáját kihasználva, helyi felhasználók szolgáltatás megtagadás (DoS – Denial of Service) okozhatnak és manipulálhatnak egyes adatokat a Solaris rendszeren futó szerver telepítéssel.
- A nyomtatási funkció egy hibáját kihasználva, ami az ideiglenes nyomtatási sorok létrehozásakor a nem biztonságos jogosultságok kiosztása miatt keletkezik, más felhasználók által nyomtatott dokumentumokhoz lehet hozzáférni.
Az 1.-6. sérülékenységek sikeres kihasználása tetszőleges kód futtatását teszik lehetővé.
A sérülékenységeket az alábbi termékekben ismerték fel:
* JDK and JRE 7. Update 4 és megelőző verziók.
* JDK and JRE version 6 Update 32 és megelőző verziók.
* JDK and JRE version 5.0 Update 35 és megelőző verziók.
* SDK and JRE version 1.4.2_37 és megelőző verziók.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Misconfiguration (Konfiguráció)
Other (Egyéb)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.oracle.com
Gyártói referencia: www.oracle.com
SECUNIA 49472
CERT-Hungary CH-6730
CVE-2012-0551 - NVD CVE-2012-0551
CVE-2012-1711 - NVD CVE-2012-1711
CVE-2012-1713 - NVD CVE-2012-1713
CVE-2012-1716 - NVD CVE-2012-1716
CVE-2012-1717 - NVD CVE-2012-1717
CVE-2012-1718 - NVD CVE-2012-1718
CVE-2012-1719 - NVD CVE-2012-1719
CVE-2012-1720 - NVD CVE-2012-1720
CVE-2012-1721 - NVD CVE-2012-1721
CVE-2012-1722 - NVD CVE-2012-1722
CVE-2012-1723 - NVD CVE-2012-1723
CVE-2012-1724 - NVD CVE-2012-1724
CVE-2012-1725 - NVD CVE-2012-1725
CVE-2012-1726 - NVD CVE-2012-1726
Egyéb referencia: andreicostin.com
Egyéb referencia: www.zerodayinitiative.com
