Oracle Java sérülékenységek

CH azonosító

CH-7024

Angol cím

Oracle Java Multiple Vulnerabilities

Felfedezés dátuma

2012.06.12.

Súlyosság

Magas

Érintett rendszerek

Oracle
Sun Java Development Kit (JDK)
Sun Java Runtime Environment (JRE)
Sun Java SDK

Érintett verziók

Oracle Java JDK 1.7.x / 7.x
Oracle Java JRE 1.7.x / 7.x
Sun Java JDK 1.5.x
Sun Java JDK 1.6.x / 6.x
Sun Java JRE 1.4.x
Sun Java JRE 1.5.x / 5.x
Sun Java JRE 1.6.x / 6.x
Sun Java SDK 1.4.x

Összefoglaló

Az Oracle Java olyan sérülékenységei váltak ismertté, amelyeket a rosszindulatú helyi felhasználók kihasználhatnak bizalmas információk felfedésére, bizonyos adatok manipulálására és szolgáltatás megtagadás (DoS – Denial of Service) okozására, valamint a támadók cross-site scripting (XSS/CSS) támadások kezdeményezésére, bizalmas információk felfedésére, bizonyos adatok manipulálására, szolgáltatás megtagadás (DoS – Denial of Service) előidézésére a sérülékeny rendszer feltörésére.

Leírás

  1. A “BasicService.showDocument” Java Webstart függvény egy hibáját kihasználva további paraméterek átadását teszi lehetővé a böngészőnek, ami tetszőleges kód végrehajtását teszi lehetővé, az alapértelmezett bőngésző beállítástól függően.
  2. A Deployment alkomponensben található hiba a nem megbízható Java Web Start alkalmazásokkal és a kliensre telepített nem megbízható Java kisalkalmazásokkal (applet) használható ki.
  3. A Deployment alkomponensben található hiba a nem megbízható Java Web Start alkalmazásokkal és a kliensre telepített nem megbízható Java kisalkalmazásokkal (applet) használható ki.
  4. A Hotspot alkomponensben található hiba a nem megbízható Java Web Start alkalmazásokkal és a kliensre telepített nem megbízható Java kisalkalmazásokkal (applet) használható ki.
  5. A Hotspot alkomponensben található hiba a nem megbízható Java Web Start alkalmazásokkal és a kliensre telepített nem megbízható Java kisalkalmazásokkal (applet) használható ki.
  6. A Swing alkomponensben található hiba a nem megbízható Java Web Start alkalmazásokkal és a kliensre telepített nem megbízható Java kisalkalmazásokkal (applet) használható ki.
  7. A CORBA alkomponensben található hiba nem megbízható Java Web Start alkalmazásokkal és a kliensre telepített nem megbízható Java kisalkalmazásokkal (applet) kihasználható néhány adat felfedésére és manipulálására.
  8. A Libraries alkomponensben találaható hiba nem megbízható Java Web Start alkalmazásokkal és a kliensre telepített nem megbízható Java kisalkalmazásokkal (applet) kihasználható néhány adat felfedésére és manipulálására.
  9. A Deployment alkomponensben találaható hiba nem megbízható Java Web Start alkalmazásokkal és a kliensre telepített nem megbízható Java kisalkalmazásokkal (applet) kihasználható ki.
    További információ: CERT-Hungary CH-6730
  10. A CORBA alkomponensben találaható hiba nem megbízható Java Web Start alkalmazásokkal és a kliensre telepített nem megbízható Java kisalkalmazásokkal (applet) kihasználható néhány adat felfedésére és manipulálására.
  11. A JAXP alkomponensben találaható hiba nem megbízható Java Web Start alkalmazásokkal és a kliensre telepített nem megbízható Java kisalkalmazásokkal (applet) vagy bizonyos API-k részére átadott speciálisan kialakított adatokkal kihasználható néhány adat felfedésére valamint szolgáltatás megtagadás (DoS – Denial of Service) előidézésére.
  12. A Security alkomponensben találaható hiba nem megbízható Java Web Start alkalmazásokkal és a kliensre telepített nem megbízható Java kisalkalmazásokkal (applet) vagy bizonyos API-k részére átadott speciálisan kialakított adatokkal kihasználható szolgáltatás megtagadás (DoS – Denial of Service) okozására.
  13. A Networking alkomponens egy hibáját kihasználva, helyi felhasználók szolgáltatás megtagadás (DoS – Denial of Service) okozhatnak és manipulálhatnak egyes adatokat a Solaris rendszeren futó szerver telepítéssel.
  14. A nyomtatási funkció egy hibáját kihasználva, ami az ideiglenes nyomtatási sorok létrehozásakor a nem biztonságos jogosultságok kiosztása miatt keletkezik, más felhasználók által nyomtatott dokumentumokhoz lehet hozzáférni.

Az 1.-6. sérülékenységek sikeres kihasználása tetszőleges kód futtatását teszik lehetővé.

A sérülékenységeket az alábbi termékekben ismerték fel:
* JDK and JRE 7. Update 4 és megelőző verziók.
* JDK and JRE version 6 Update 32 és megelőző verziók.
* JDK and JRE version 5.0 Update 35 és megelőző verziók.
* SDK and JRE version 1.4.2_37 és megelőző verziók.

Megoldás

Telepítse a javítócsomagokat