Oracle Java SE sérülékenységek

CH azonosító

CH-5792

Angol cím

Oracle Java SE Multiple Vulnerabilities

Felfedezés dátuma

2011.10.18.

Súlyosság

Magas

Érintett rendszerek

Java Development Kit (JDK)
Java Runtime Environment (JRE)
Java SDK
Oracle
Sun Java Development Kit (JDK)
Sun Java Runtime Environment (JRE)
Sun Microsystems

Érintett verziók

Oracle Java JDK 1.7.x (7.x)
Oracle Java JRE 1.7.x (7.x)
Sun Java JDK 1.5.x, 1.6.x (6.x)
Sun Java JRE 1.4.x, 1.5.x (5.x), 1.6.x (6.x)
Sun Java SDK 1.4.x

Összefoglaló

Az Oracle Java SE olyan sérülékenységeit jelentették, amelyeket rosszindulatú felhasználók kihasználva bizonyos adatokat szivárogtathatnak ki, valamint a támadók bizalmas adatokat szivárogtathatnak ki, eltéríthetik a felhasználó munkamenetét, DNS cache mérgezés (poisoning) támadásokat hajthatnak végre, bizonyos adatokat módosíthatnak, szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő és feltörhetik a sérülékeny rendszert.

Leírás

  1. A Secure Sockets Layer 3.0 (SSL) és Transport Layer Security 1.0 (TLS) protokollok egy tervezési hibája miatt bizalmas adatok fedhetők fel, pl. egy Man-in-the-Middle (MitM) támadás során.
  2. A telepítő komponens egy hibája miatt tetszőleges kód futtatható egy kliens telepítés során, pl. nem megbízható kisalkalmazások segítségével.
    Ez a sérülékenység csak a Windows alapú platformokat érinti.
  3. A deszerializációs komponens egy hibája miatt tetszőleges kód futtatható egy kliens telepítés során, pl. nem megbízható kisalkalmazások segítségével.
  4. A scripting komponens egy bemenet ellenőrzése során, amikor Rhino Javascript kezelési hibák lépnek fel, tetszőleges kód futtatható egy kliens telepítés során, pl. nem megbízható kisalkalmazások segítségével.
  5. A jsound.dll előjel hibája miatt, amikor egy függvény visszajelzéseket kap egy MIDI hangfolyam vezérlő események változásairól, kihasználható a halom alapú memória megváltoztatására.
  6. A telepítő komponens egy hibája miatt bizonyos adatok kiszivárogtathatóak és módosíthatóak egy kliens telepítés során, pl. nem megbízható kisalkalmazások segítségével.
  7. A hálózati komponens egy hibája miatt bizonyos adatok kiszivárogtathatóak egy kliens telepítés során pl. nem megbízható kisalkalmazások segítségével.
  8. Az AWT komponens egy hibája miatt tetszőleges kód futtatható egy kliens telepítés során, pl. nem megbízható kisalkalmazások segítségével.
  9. A Swing komponens egy hibája miatt tetszőleges kód futtatható egy kliens telepítés során, pl. nem megbízható kisalkalmazások segítségével.
  10. Az AWT komponens egy hibája miatt tetszőleges kód futtatható egy kliens telepítés során, pl. nem megbízható kisalkalmazások segítségével.
  11. A 2D komponens egy hibája miatt tetszőleges kód futtatható egy kliens és szerver telepítés során, pl. nem megbízható kisalkalmazások vagy API-knak webszolgáltatáson keresztül küldött adatok segítségével.
  12. A java.net.Socket API nem megfelelő módon korlátozza az egy időben használt UDP socketek számát, ami kihasználható DNS cache mérgezéses támadás végrehajtására a rendelkezésre álló socketek felhasználásával, pl. ha a felhasználó meglátogat egy kártékony kisalkalmazásokat tartalmazó weboldalt.
    Ez a következő sérülékenységgel állhat összefüggésben:
    CERT-Hungary CH-4336 19. pont
  13. A JAXWS komponens egy hibája miatt bizonyos adatok kiszivárogtathatóak egy szerver telepítés során pl. API-knak webszolgáltatáson keresztül küldött adatok segítségével.
  14. A Java Runtime Environment komponens egy hibája miatt tetszőleges kód futtatható egy kliens telepítés során, pl. nem megbízható kisalkalmazások segítségével.
  15. A Java Runtime Environment komponens egy hibája miatt bizonyos adatok manipulálhatóak és szolgáltatás megtagadást (DoS – Denial of Service) lehetséges előidézni egy kliens telepítés során, pl. nem megbízható kisalkalmazások segítségével.
  16. Az RMI komponens egy hibája miatt bizonyos adatok kiszivárogtathatóak és manipulálhatóak illetve szolgáltatás megtagadást (DoS – Denial of Service) lehetséges előidézni egy RMI szerver telepítés során.
  17. Az RMI komponens egy hibája miatt bizonyos adatok kiszivárogtathatóak és manipulálhatóak illetve szolgáltatás megtagadást (DoS – Denial of Service) lehetséges előidézni egy RMI szerver telepítés során.
  18. A HotSpot komponens egy hibája miatt bizonyos adatok kiszivárogtathatóak egy kliens telepítés során, pl. nem megbízható kisalkalmazások segítségével.
  19. A JSSE komponens egy hibája miatt bizonyos adatok kiszivárogtathatóak és manipulálhatóak egy kliens telepítés során, pl. nem megbízható kisalkalmazások segítségével.
  20. A telepítő komponens egy hibája miatt bizonyos adatok kiszivárogtathatóak egy kliens telepítés során, pl. nem megbízható kisalkalmazások segítségével.

Megoldás

Frissítsen a legújabb verzióra