Összefoglaló
Az IBM Java több sérülékenységét jelentették, amiket kihasználva a támadók megkerülhetnek egyes biztonsági szabályokat és feltörhetik a felhasználó rendszerét.
Leírás
- Az “invoke()” metódus (java.lang.reflect.Method) egy hibáját kihasználva ki lehet törni a sandbox-ból.
- A “getDeclaredMethods()” (java.lang.Class) és a “setAccessible()” (“java.lang.reflect.AccessibleObject”) metódusok egy hibáját kihasználva ki lehet törni a sandbox-ból.
- A “java.lang.class” osztály egy nem részletezett metódusának több hibáját kihasználva ki lehet törni a sandbox-ból.
- A “defineClass()” metódus (java.lang.ClassLoder) egy hibáját kihasználva ki lehet törni a sandbox-ból.
A sérülékenységek sikeres kihasználása tetszőleges Java kód végrehajtását teszik lehetővé.
A sérülékenységeket az alábbi termékekben jelentették:
- Java 7 SR2 és korábbi verziók
- Java 6.0.1 SR3 és korábbi verziók
- Java 6 SR11 és korábbi verziók
- Java 5 SR14 és korábbi verziók
- Java 1.4.2 SR13-FP13 és korábbi verziók
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.ibm.com
Gyártói referencia: www.ibm.com
CVE-2012-4820 - NVD CVE-2012-4820
CVE-2012-4821 - NVD CVE-2012-4821
CVE-2012-4822 - NVD CVE-2012-4822
CVE-2012-4823 - NVD CVE-2012-4823
SECUNIA 51244