Oracle Java sérülékenységek


2012. június 13. 13:52

CH azonosító

CH-7024

Angol cím

Oracle Java Multiple Vulnerabilities

Felfedezés dátuma

2012.06.12.

Súlyosság

Magas

Érintett rendszerek

Oracle
Sun Java Development Kit (JDK)
Sun Java Runtime Environment (JRE)
Sun Java SDK

Érintett verziók

Oracle Java JDK 1.7.x / 7.x
Oracle Java JRE 1.7.x / 7.x
Sun Java JDK 1.5.x
Sun Java JDK 1.6.x / 6.x
Sun Java JRE 1.4.x
Sun Java JRE 1.5.x / 5.x
Sun Java JRE 1.6.x / 6.x
Sun Java SDK 1.4.x

Összefoglaló

Az Oracle Java olyan sérülékenységei váltak ismertté, amelyeket a rosszindulatú helyi felhasználók kihasználhatnak bizalmas információk felfedésére, bizonyos adatok manipulálására és szolgáltatás megtagadás (DoS – Denial of Service) okozására, valamint a támadók cross-site scripting (XSS/CSS) támadások kezdeményezésére, bizalmas információk felfedésére, bizonyos adatok manipulálására, szolgáltatás megtagadás (DoS – Denial of Service) előidézésére a sérülékeny rendszer feltörésére.

Leírás

  1. A “BasicService.showDocument” Java Webstart függvény egy hibáját kihasználva további paraméterek átadását teszi lehetővé a böngészőnek, ami tetszőleges kód végrehajtását teszi lehetővé, az alapértelmezett bőngésző beállítástól függően.
  2. A Deployment alkomponensben található hiba a nem megbízható Java Web Start alkalmazásokkal és a kliensre telepített nem megbízható Java kisalkalmazásokkal (applet) használható ki.
  3. A Deployment alkomponensben található hiba a nem megbízható Java Web Start alkalmazásokkal és a kliensre telepített nem megbízható Java kisalkalmazásokkal (applet) használható ki.
  4. A Hotspot alkomponensben található hiba a nem megbízható Java Web Start alkalmazásokkal és a kliensre telepített nem megbízható Java kisalkalmazásokkal (applet) használható ki.
  5. A Hotspot alkomponensben található hiba a nem megbízható Java Web Start alkalmazásokkal és a kliensre telepített nem megbízható Java kisalkalmazásokkal (applet) használható ki.
  6. A Swing alkomponensben található hiba a nem megbízható Java Web Start alkalmazásokkal és a kliensre telepített nem megbízható Java kisalkalmazásokkal (applet) használható ki.
  7. A CORBA alkomponensben található hiba nem megbízható Java Web Start alkalmazásokkal és a kliensre telepített nem megbízható Java kisalkalmazásokkal (applet) kihasználható néhány adat felfedésére és manipulálására.
  8. A Libraries alkomponensben találaható hiba nem megbízható Java Web Start alkalmazásokkal és a kliensre telepített nem megbízható Java kisalkalmazásokkal (applet) kihasználható néhány adat felfedésére és manipulálására.
  9. A Deployment alkomponensben találaható hiba nem megbízható Java Web Start alkalmazásokkal és a kliensre telepített nem megbízható Java kisalkalmazásokkal (applet) kihasználható ki.
    További információ: CERT-Hungary CH-6730
  10. A CORBA alkomponensben találaható hiba nem megbízható Java Web Start alkalmazásokkal és a kliensre telepített nem megbízható Java kisalkalmazásokkal (applet) kihasználható néhány adat felfedésére és manipulálására.
  11. A JAXP alkomponensben találaható hiba nem megbízható Java Web Start alkalmazásokkal és a kliensre telepített nem megbízható Java kisalkalmazásokkal (applet) vagy bizonyos API-k részére átadott speciálisan kialakított adatokkal kihasználható néhány adat felfedésére valamint szolgáltatás megtagadás (DoS – Denial of Service) előidézésére.
  12. A Security alkomponensben találaható hiba nem megbízható Java Web Start alkalmazásokkal és a kliensre telepített nem megbízható Java kisalkalmazásokkal (applet) vagy bizonyos API-k részére átadott speciálisan kialakított adatokkal kihasználható szolgáltatás megtagadás (DoS – Denial of Service) okozására.
  13. A Networking alkomponens egy hibáját kihasználva, helyi felhasználók szolgáltatás megtagadás (DoS – Denial of Service) okozhatnak és manipulálhatnak egyes adatokat a Solaris rendszeren futó szerver telepítéssel.
  14. A nyomtatási funkció egy hibáját kihasználva, ami az ideiglenes nyomtatási sorok létrehozásakor a nem biztonságos jogosultságok kiosztása miatt keletkezik, más felhasználók által nyomtatott dokumentumokhoz lehet hozzáférni.

Az 1.-6. sérülékenységek sikeres kihasználása tetszőleges kód futtatását teszik lehetővé.

A sérülékenységeket az alábbi termékekben ismerték fel:
* JDK and JRE 7. Update 4 és megelőző verziók.
* JDK and JRE version 6 Update 32 és megelőző verziók.
* JDK and JRE version 5.0 Update 35 és megelőző verziók.
* SDK and JRE version 1.4.2_37 és megelőző verziók.

Megoldás

Telepítse a javítócsomagokat

Támadás típusa

Input manipulation (Bemenet módosítás)
Misconfiguration (Konfiguráció)
Other (Egyéb)

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.oracle.com
Gyártói referencia: www.oracle.com
SECUNIA 49472
CERT-Hungary CH-6730
CVE-2012-0551 - NVD CVE-2012-0551
CVE-2012-1711 - NVD CVE-2012-1711
CVE-2012-1713 - NVD CVE-2012-1713
CVE-2012-1716 - NVD CVE-2012-1716
CVE-2012-1717 - NVD CVE-2012-1717
CVE-2012-1718 - NVD CVE-2012-1718
CVE-2012-1719 - NVD CVE-2012-1719
CVE-2012-1720 - NVD CVE-2012-1720
CVE-2012-1721 - NVD CVE-2012-1721
CVE-2012-1722 - NVD CVE-2012-1722
CVE-2012-1723 - NVD CVE-2012-1723
CVE-2012-1724 - NVD CVE-2012-1724
CVE-2012-1725 - NVD CVE-2012-1725
CVE-2012-1726 - NVD CVE-2012-1726
Egyéb referencia: andreicostin.com
Egyéb referencia: www.zerodayinitiative.com

Legfrissebb sérülékenységek
CVE-2024-20358 – Cisco ASA és FTD sérülékenysége
CVE-2024-20359 – Cisco ASA és FTD sérülékenysége
CVE-2024-20353 – Cisco ASA és FTD sérülékenysége
CVE-2024-31857 – WordPress Forminator plugin sérülékenysége
CVE-2024-31077 – WordPress Forminator plugin sérülékenysége
CVE-2024-28890 – WordPress Forminator plugin sérülékenysége
CVE-2024-20295 – Cisco IMC sérülékenysége
CVE-2024-3400 – Palo Alto Networks PAN-OS sérülékenysége
CVE-2024-3566 – Windows CreateProcess sérülékenysége
CVE-2024-22423 – yt-dlp sérülékenysége
Tovább a sérülékenységekhez »