Множественные критические уязвимости в Sun Java JDK / JRE

Автор оригинала: secunia.com
  • Перевод
Несколько критических уязвимостей были зарегистрированы в Sun Java, которые могут быть использованы в злоумышленных целях, для обхода определенных ограничений безопасности, раскрытия информации о системе или потенциально секретной информации, вызвать DoS (отказ в обслуживании) или компрометировать уязвимую систему.


1) Ошибка в Java Runtime Environment Virtual Machine, может быть использована для написания эксплоитов, запуска апплетов, чтения и записи локальных файлов и запуска приложений.

2) Ошибка в Java Management extensions (JMX), может быть использована для выполнения определённых операций на системе с запущеным JMX и включённым локальным мониторингом.

3) Две ошибки в скриптовом языке в Java Runtime Environment, могут быть использованы доступа к информации из другого апплета, для чтения и записи локальных файлов и запуска приложений.

4) Boundary-ошибки в Java Web Start (могут вызывать переполнение буфера обмена)

5) Три ошибки в Java Web Start (создание и удаление произвольных файлов с привилегиями пользователя)

6) Ошибка в реализации Secure Static Versioning.

7) Ошибки в Java Runtime Environment, для обхода политики доступа и установления socket-подключений к определённым сервисам которые работают на локальном хосте

8) Ошибка в Java Runtime Environment при обработке определенных данных XML, может быть использована для несанкционированного доступа к определенным URL ресурсам или для вызвова DoS-атаки.

9) Ошибка в Java Runtime Environment при обработке определенных данных XML, может быть использована для получения несанкционированного доступа к определенным URL ресурсам.

10) Boundary-ошибка при обработке шрифтов в Java Runtime Environment, может быть использована для переполнение буфера.

Решение проблемы — обновить приложения:

JDK и JRE 6 Update 7:
java.sun.com/javase/downloads/index.jsp

JDK и JRE 5.0 Update 16:
java.sun.com/javase/downloads/index_jdk5.jsp

SDK и JRE 1.4.2_18:
java.sun.com/j2se/1.4.2/download.html

SDK и JRE 1.3.1_23 (Solaris 8 и Vintage Support Offering support contracts):
java.sun.com/j2se/1.3/download.html

Похожие публикации

AdBlock похитил этот баннер, но баннеры не зубы — отрастут

Подробнее
Реклама

Комментарии 22

  • НЛО прилетело и опубликовало эту надпись здесь
      0
      Спасибо за информацию. Но было бы неплохо для каждой из ошибок привести ссылки, по которым можно получить более подробную информацию.
        +1
        Вот здесь вся инфа есть http://secunia.com/advisories/31010/

        Там внизу такие вот ссылки лежат, там поподробнее -
        http://sunsolve.sun.com/search/document.do?assetkey=1-66-238628-1
        http://sunsolve.sun.com/search/document.do?assetkey=1-66-238666-1
        http://sunsolve.sun.com/search/document.do?assetkey=1-66-238687-1
        http://sunsolve.sun.com/search/document.do?assetkey=1-66-238905-1
        http://sunsolve.sun.com/search/document.do?assetkey=1-66-238965-1
        http://sunsolve.sun.com/search/document.do?assetkey=1-66-238966-1
        http://sunsolve.sun.com/search/document.do?assetkey=1-66-238967-1
        http://sunsolve.sun.com/search/document.do?assetkey=1-66-238968-1
        0
        Интересно знать где именно, или примерчик какой-нибудь более менее безобидный.
          +1
          В смысле устроить DOS/DDOS атакку? =)
            0
            не-не-не, вы не так поняли. Как она проявляется, при каких условиях. Это ж как-то обнаружили, хать бы пример воспроизведения самого безобидного.
              0
              Про Sun примера под рукой нет, но то, что такое бывает в очень хитрых условиях - это скорее всего.
              Недавно прочитал, как AdobeFlash ломали (
        +1
        Это к слову о полезности открытого кода. Сколько сразу обнаружилось... Можно ссылку на первоисточник?
          +2
          Спасибо. Ошибку понял.
        • НЛО прилетело и опубликовало эту надпись здесь
            0
            а не связано ли это с относительно недавно найденной уязвимостью DNS?
              +1
              А какая тут может быть связь?
                +1
                Нет никакой связи. Скорее обнаржуение ошибок связано с появление OpenJDK.
                  0
                  Да... вот так джава. А еще говорили что безопасность :) Если даже в виртуальной машине умудряются делать переполнение. OpenJDK — вещь, что лишний раз подтверждает эффективность открытых платформ, чего к сожалению многие компании не понимают.
                    –2
                    Преимущества Close Source, что о них никто не знает хотябы =)
                      0
                      В том числе и сама компания ;) До тех пор пока очередной крэкер ее не найдет. Если честно, не могу понять, как компании (да и люди в них работающие) могут гарантировать безопасность данных и надежность их хранения, при использовании закрытого софта (и речь даже не о винде, хотя и о ней тоже). Притом что данные эти могут стоить десятки миллионов долларов. Этож какую надо веру иметь рядовому виндовому админу в то что оно не грохнется в один прекрасный момент? =)

                      Я сам сижу на *nix системах уже более 10 лет, с никсами практически с момента основания. Не спорю, проблемы конечно есть и тут, но... [перефразируя известный анекдот] по мне лучше "ведро гвоздей" сразу и на год спокоен, чем по гвоздю каждую неделю. И самое главное: знаешь чего ожидать, для меня это главное. А в случае винды я не знаю чего ожидать. И мне честное слово страшно. В первую очередь от того что ты ну никак не можешь на это дело повлиять. Ставить обновления — занятие малоутишительное на самом деле...
                        0
                        Это все понятно, просто пока не публиковали и бед не знали. А сейчас любая непатченная система в опасности по идее.
                        С другой стороны для реальных проектов, для большинства из них, ни апплеты ни веб старт некритичны, ибо это редко используется. В основном ява крутится только на серверах. Проблемы с XML вообще несколько не к санам, ибо все пользуются библиотеками ксеркс или аналоги, как правило и стандартные либы и JVM какое отношение XML имеют, я коль честно не знаю.

                        Так что могут быть реально опасны только пункты 6 и 7, про пункт 6 коль честно просто не знаю, что это за фигня. А вот пункт 7 единтсвенный кто реально звучит угрожающе, хотя зависит от характера уязвимости.
                      0
                      Код Sun JVM и runtime-библиотек был открыт уже очень давно, и изучать его мог кто угодно. Просто мало кому в то время это было нужно.
                  0
                  И почему большинство критических уязвимостей регистрируют через несколько дней после обновления, в котором их исправили?
                    +1
                    Чтобы не провоцировать множественных троллей ими воспользоваться.

                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                  Самое читаемое