Adobe LiveCycle és BlazeDS sérülékenységek


2011. június 15. 14:10

CH azonosító

CH-5057

Angol cím

Adobe LiveCycle / BlazeDS Two Vulnerabilities

Felfedezés dátuma

2011.06.14.

Súlyosság

Magas

Érintett rendszerek

Adobe
BlazeDS
LiveCycle
LiveCycle Data Services

Érintett verziók

Adobe BlazeDS 4.x
Adobe LiveCycle 8.x, 9.x
Adobe LiveCycle Data Services 2.x, 3.x

Összefoglaló

Az Adobe LiveCycle és BlazeDS két sérülékenységét jelentették, amelyeket kihasználva a támadók szolgáltatás megtagadást (DoS – Denial of Service) okozhatnak vagy feltörhetik a sérülékeny rendszert.

Leírás

  1. Az objektumok deszerializációja (sorbarendezés megszüntetése) közben az AMF/AMFX adatok feldolgozása alatt fellépő hibát kihasználva tetszőleges osztály eljárásait le lehet futtatni.
    A sérülékenység sikeres kihasználása tetszőleges kód futtatását teszi lehetővé.
  2. Bizonyos grafikai objektumok (pl. JFrame osztály) feldolgozásakor jelentkező hibát kihasználva szolgáltatás megtagadást (DoS – Denial of Service) lehet okozni.

A sérülékenységeket az alábbi verziókban jelentették:

  • LiveCycle Data Services 3.1, 2.6.1, 2.5.1 és korábbi verziók Windows, Macintosh és UNIX platformokon
  • LiveCycle 9.0.0.2, 8.2.1.3, 8.0.1.3 és korábbi verziók Windows, Macintosh és UNIX platformokon
  • BlazeDS 4.0.1 és korábbi kiadások

Megoldás

Telepítse a javítócsomagokat

Támadás típusa

Other (Egyéb)

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.adobe.com
Egyéb referencia: wouter.coekaerts.be
CVE-2011-2092 - NVD CVE-2011-2092
CVE-2011-2093 - NVD CVE-2011-2093
SECUNIA 44922