CH azonosító
CH-8508Angol cím
Oracle Java Multiple VulnerabilitiesFelfedezés dátuma
2013.02.19.Súlyosság
MagasÉrintett rendszerek
Java JDKJava JRE
Oracle
Sun Java Development Kit (JDK)
Sun Java Runtime Environment (JRE)
Érintett verziók
Oracle Java JDK 1.5.x / 5.x
Oracle Java JDK 1.7.x / 7.x
Oracle Java JRE 1.7.x / 7.x
Oracle Java SDK 1.4.x / 4.x
Sun Java JDK 1.4.x
Sun Java JDK 1.6.x / 6.x
Sun Java JRE 1.4.x / 4.x
Sun Java JRE 1.5.x / 5.x
Sun Java JRE 1.6.x / 6.x
Összefoglaló
Az Oracle Java több sérülékenységét jelentették, amiket kihasználva a támadók bizalmas információkat szerezhetnek, módosíthatnak egyes adatokat, illetve feltörhetik a felhasználó rendszerét.
Leírás
- A Deployment komponens egy nem részletezett hibáját kihasználva tetszőleges kódot lehet végrehajtani.
- A JMX komponens egy nem részletezett hibáját kihasználva tetszőleges kódot lehet végrehajtani.
- A Libraries komponens egy nem részletezett hibáját kihasználva tetszőleges kódot lehet végrehajtani.
- A Libraries komponens egy nem részletezett hibáját kihasználva módosítani lehet egyes adatokat.
- A Transport Layer Security (TLS) implementációban lévő CBS titkosítás egy hibáját kihasználva meg lehet ismerni az időzítési különbségeket, amikor a padding check történik. Ez kihasználható a plaintext egyes részeinek megismerésére timing támadással.
A sérülékenységeket az alábbi termékekben jelentették:
- JDK és JRE 7 Update 13 és korábbi verziók
- JDK és JRE 6 Update 39 és korábbi verziók
- JDK és JRE 5.0 Update 39 és korábbi verziók
- SDK és JRE 1.4.2_41 és korábbi verziók
Támadás típusa
Crypthographical (Titkosítás)Input manipulation (Bemenet módosítás)
Unspecified (Nem részletezett)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.oracle.com
Gyártói referencia: www.oracle.com
Egyéb referencia: www.isg.rhul.ac.uk
CVE-2013-0169 - NVD CVE-2013-0169
CVE-2013-1484 - NVD CVE-2013-1484
CVE-2013-1485 - NVD CVE-2013-1485
CVE-2013-1486 - NVD CVE-2013-1486
CVE-2013-1487 - NVD CVE-2013-1487
SECUNIA 52257