Oracle Java sérülékenységek

CH azonosító

CH-8389

Angol cím

Oracle Java Multiple Vulnerabilities

Felfedezés dátuma

2013.02.01.

Súlyosság

Kritikus

Érintett rendszerek

Java JDK
Java JRE
Oracle
Sun Java Development Kit (JDK)
Sun Java Runtime Environment (JRE)
Sun Java SDK

Érintett verziók

Oracle Java JDK 1.5.x / 5.x, 1.7.x / 7.x
Oracle Java JRE 1.7.x / 7.x
Oracle Java SDK 1.4.x / 4.x
Sun Java JDK 1.4.x, 1.6.x / 6.x
Sun Java JRE 1.4.x / 4.x, 1.5.x / 5.x, 1.6.x / 6.x

Összefoglaló

Az Oracle Java több sérülékenysége vált ismertté, amelyeket kihasználva a rosszindulatú, helyi felhasználók kiterjesztett jogosultságokat szerezhetnek, a támadók bizalmas információkat fedhetnek fel, manipulálhatnak bizonyos adatokat, szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő és feltörhetik a sérülékeny rendszert.

Leírás

  1. A kliens és szerver telepítés (deployment) 2D komponensének egy nem részletezett hibája kihasználható tetszőleges kód futtatására.
  2. A kliens és szerver telepítés (deployment) 2D komponensének egy nem részletezett hibája kihasználható tetszőleges kód futtatására.
  3. A kliens telepítés (deployment) AWT komponensének egy nem részletezett hibája kihasználható tetszőleges kód futtatására.
  4. A kliens telepítés (deployment) AWT komponensének egy nem részletezett hibája kihasználható tetszőleges kód futtatására.
  5. Bizonyos AWT Image Transform könyvtár funkcióik határhibáját kihasználva a halom memória korrupcióját lehet előidézni.
  6. A kliens telepítés (deployment) CORBA komponensének egy nem részletezett hibája kihasználható tetszőleges kód futtatására.
  7. A kliens telepítés (deployment) CORBA komponensének egy nem részletezett hibája kihasználható tetszőleges kód futtatására.
  8. A kliens telepítés (deployment) CORBA komponensének egy nem részletezett hibája kihasználható tetszőleges kód futtatására.
  9. A kliens telepítés (deployment) Deployment komponensének egy nem részletezett hibája kihasználható tetszőleges kód futtatására.
  10. A kliens telepítés (deployment) Deployment komponensének egy nem részletezett hibája kihasználható tetszőleges kód futtatására.
  11. A kliens telepítés (deployment) Deployment komponensének egy nem részletezett hibája kihasználható tetszőleges kód futtatására.
  12. A kliens telepítés (deployment) JMX komponensének egy nem részletezett hibája kihasználható tetszőleges kód futtatására.
  13. A “D3DRendererDelegate” osztály konstruktor egy hibáját kihasználva tetszőleges értékre lehet hivatkozni mint egy objektum mutatóra.
  14. A kliens telepítés (deployment) Libraries komponensének egy nem részletezett hibája kihasználható tetszőleges kód futtatására.
  15. A kliens telepítés (deployment) Libraries komponensének egy nem részletezett hibája kihasználható tetszőleges kód futtatására.
  16. A kliens telepítés (deployment) Libraries komponensének egy nem részletezett hibája kihasználható tetszőleges kód futtatására.
  17. A “NativeJavaConstructor” osztály szérializált objektumok kezelése során keletkező bemenet ellenőrzési hiba kihasználható bizonyos privilegizált objektumokra való hivatkozáshoz.
  18. A Soundbank fájlok feldolgozásakor a “PV_ProcessSampleWithSMOD()” metódusban keletkező előjel hibát kihasználva egy tetszőleges tetszőleges értékre lehet hivatkozni mint egy függvény mutatóra.
  19. A kliens telepítés (deployment) Beans komponensének egy nem részletezett hibája kihasználható tetszőleges kód futtatására.
  20. A kliens telepítés (deployment) CORBA komponensének egy nem részletezett hibája kihasználható tetszőleges kód futtatására.
  21. A kliens telepítés (deployment) Deployment komponensének egy nem részletezett hibája kihasználható tetszőleges kód futtatására.
  22. A kliens telepítés (deployment) Deployment komponensének egy nem részletezett hibája kihasználható tetszőleges kód futtatására.
  23. A kliens telepítés (deployment) Deployment komponensének egy nem részletezett hibája kihasználható bizonyos adatok felfedésére és manipulálására, valamint szolgáltatás megtagadás (DoS – Denial of Service) előidézésére.
  24. A kliens telepítés (deployment) Install komponensének egy nem részletezett hibája kihasználható helyi felhasználó által kiterjesztett jogosultságok megszerzésére.
  25. A kliens telepítés (deployment) AWT komponensének egy nem részletezett hibája kihasználható bizonyos adatok felfedésére és manipulálására.
  26. A kliens telepítés (deployment) Deployment komponensének egy nem részletezett hibája kihasználható bizonyos adatok felfedésére.
  27. A kliens telepítés (deployment) Deployment komponensének egy nem részletezett hibája kihasználható bizonyos adatok manipulálására.
  28. A kliens telepítés (deployment) JAX-WS komponensének egy nem részletezett hibája kihasználható bizonyos adatok felfedésére.
  29. A kliens telepítés (deployment) JAXP komponensének egy nem részletezett hibája kihasználható bizonyos adatok felfedésére.
  30. A kliens telepítés (deployment) JMX komponensének egy nem részletezett hibája kihasználható bizonyos adatok felfedésére.
  31. A kliens telepítés (deployment) JMX komponensének egy nem részletezett hibája kihasználható bizonyos adatok felfedésére.
  32. A kliens telepítés (deployment) Libraries komponensének egy nem részletezett hibája kihasználható bizonyos adatok manipulálására.
  33. A kliens telepítés (deployment) Libraries komponensének egy nem részletezett hibája kihasználható bizonyos adatok manipulálására.
  34. A kliens telepítés (deployment) Networking komponensének egy nem részletezett hibája kihasználható bizonyos adatok manipulálására.
  35. A kliens telepítés (deployment) RMI komponensének egy nem részletezett hibája kihasználható bizonyos adatok manipulálására.
  36. A szerver telepítés (deployment) JSSE komponensének egy nem részletezett hibája kihasználható SSL/TLS-en keresztül szolgáltatás megtagadás (DoS – Denial of Service) előidézésére.
  37. A kliens telepítés (deployment) Deployment komponensének egy nem részletezett hibája kihasználható bizonyos adatok felfedésére.
  38. A kliens telepítés (deployment) JSSE komponensének egy nem részletezett hibája kihasználható SSL/TLS-en keresztül bizonyos adatok felfedésére és manipulálására.

A sérülékenységek a következő termékeket érintik:

  • JDK és JRE 7 Update 11 és korábbi verziók.
  • JDK és JRE 6 Update 38 és korábbi verziók.
  • JDK és JRE 5.0 Update 38 és korábbi verziók.
  • SDK és JRE 1.4.2_40 és korábbi verziók.

Megoldás

Frissítsen a legújabb verzióra

Hivatkozások

Gyártói referencia: www.oracle.com
Gyártói referencia: www.oracle.com
Egyéb referencia: www.zerodayinitiative.com
Egyéb referencia: www.zerodayinitiative.com
Egyéb referencia: www.zerodayinitiative.com
Egyéb referencia: www.zerodayinitiative.com
SECUNIA 52064
CVE-2012-1541 - NVD CVE-2012-1541
CVE-2012-3213 - NVD CVE-2012-3213
CVE-2012-3342 - NVD CVE-2012-3342
CVE-2013-0351 - NVD CVE-2013-0351
CVE-2013-0409 - NVD CVE-2013-0409
CVE-2013-0419 - NVD CVE-2013-0419
CVE-2013-0423 - NVD CVE-2013-0423
CVE-2013-0424 - NVD CVE-2013-0424
CVE-2013-0425 - NVD CVE-2013-0425
CVE-2013-0426 - NVD CVE-2013-0426
CVE-2013-0427 - NVD CVE-2013-0427
CVE-2013-0428 - NVD CVE-2013-0428
CVE-2013-0429 - NVD CVE-2013-0429
CVE-2013-0430 - NVD CVE-2013-0430
CVE-2013-0431 - NVD CVE-2013-0431
CVE-2013-0432 - NVD CVE-2013-0432
CVE-2013-0433 - NVD CVE-2013-0433
CVE-2013-0434 - NVD CVE-2013-0434
CVE-2013-0435 - NVD CVE-2013-0435
CVE-2013-0437 - NVD CVE-2013-0437
CVE-2013-0438 - NVD CVE-2013-0438
CVE-2013-0440 - NVD CVE-2013-0440
CVE-2013-0441 - NVD CVE-2013-0441
CVE-2013-0442 - NVD CVE-2013-0442
CVE-2013-0443 - NVD CVE-2013-0443
CVE-2013-0444 - NVD CVE-2013-0444
CVE-2013-0445 - NVD CVE-2013-0445
CVE-2013-0446 - NVD CVE-2013-0446
CVE-2013-0448 - NVD CVE-2013-0448
CVE-2013-0449 - NVD CVE-2013-0449
CVE-2013-0450 - NVD CVE-2013-0450
CVE-2013-1473 - NVD CVE-2013-1473
CVE-2013-1475 - NVD CVE-2013-1475
CVE-2013-1476 - NVD CVE-2013-1476
CVE-2013-1478 - NVD CVE-2013-1478
CVE-2013-1479 - NVD CVE-2013-1479
CVE-2013-1480 - NVD CVE-2013-1480
CVE-2013-1481 - NVD CVE-2013-1481
CVE-2013-1489 - NVD CVE-2013-1489