|
|
|
|
| Архив новостей |
 |
|
|
|
| Пн |
Вт |
Ср |
Чт |
Пт |
Сб |
Вс |
| |
|
|
|
1 |
2 |
3 |
| 4 |
5 |
6 |
7 |
8 |
9 |
10 |
| 11 |
12 |
13 |
14 |
15 |
16 |
17 |
| 18 |
19 |
20 |
21 |
22 |
23 |
24 |
| 25 |
26 |
27 |
28 |
29 |
30 |
31 |
|
|
|
|
 |
|
| Новостные сайты |
 |
|
|
|
|
|
|
|
|
| Безопасность |
| |
|
|
 |
26.03.2009 19:13 |
| |
Множественные уязвимости в Sun Java JDK / JRE |
|
26 марта, 2009
Программа: Sun Java SDK и JRE версии до 1.3.1_25Sun Java SDK и JRE версии до 1.4.2_20Sun Java SDK и JRE версии до 5.0 Update 18Sun Java SDK и JRE версии до 6 Update 13
Опасность: Высокая
Наличие эксплоита: Нет
Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти некоторые ограничения безопасности, вызвать отказ в обслуживании и скомпрометировать целевую систему.
1.Уязвимость существует из-за ошибки в Java Runtime Environment (JRE) во время инициализации LDAP соединений. Удаленный пользователь может отказ в обслуживании службы LDAP.
2.Уязвимость существует из-за ошибки в реализации LDAP клиента при обрабокте данных, полученных с LDAP сервера. Злоумышленник, контролирующий LDAP сервер, может загрузить и выполнить произвольный код на целевой системе.
3.Целочисленное переполнение и переполнение буфера существуют в Java Runtime Environment во время распаковки Java апплетов и Java Web Start приложений с помощью утилиты unpack200. Удаленный пользователь может с помощью специально сформированного JAR архива выполнить недоверенный апплет или приложение на системе с повышенными привилегиями. Уязвимость не распространяется на SDK и JRE 1.4.2 и 1.3.1.
4.Уязвимость существует из-за ошибки проверки границ данных при обработке PNG изображений. Удаленный пользователь может с помощью недоверенного Java Web Start приложения выполнить произвольный код на целевой системе.
5.Две уязвимости существуют из-за ошибки проверки границ данных при обработке GIF изображений. Удаленный пользователь может с помощью недоверенного Java Web Start приложения выполнить произвольный код на целевой системе.
6.Уязвимость существует из-за ошибки проверки границ данных при обработке шрифтов. Удаленный пользователь может с помощью недоверенного Java Web Start приложения выполнить произвольный код на целевой системе.
7.Уязвимость существует из-за двух ошибок в JRE во время сохранения и обработки временных шрифтов. Удаленный пользователь может с помощью недоверенного Java Web Start приложения потребить все доступное дисковое пространство и аварийно завершить работу системы.
8.Уязвимость существует из-за ошибки в реализации HTTP сервера. Удаленный пользователь может аварийно завершить работу JAX-WS служб.
9.Уязвимость существует из-за ошибки в Java Runtime Environment (JRE) Virtual Machine. Удаленный пользователь может с помощью недоверенного апплета выполнить произвольный код на целевой системе.
10.Уязвимость существует из-за ошибки в Java Plug-in во время десериализации апплетов. Удаленный пользователь может с помощью недоверенного апплета выполнить произвольный код на целевой системе.
11.Уязвимость существует из-за того, что Java Plug-in позволяет коду, загруженному с localhost, подключится к любому порту на системе. Злоумышленник может с помощью XSS атаки подключиться к портам на системе, обычно закрытым извне.
12.Уязвимость существует из-за того, что Java Plug-in позволяет доверенному апплету запуститься на ранних версиях Java Runtime Environment (JRE) и выполнить JavaScript код, расположений на той же Web странице, что и апплет. Удачная эксплуатация уязвимости позволит злоумышленнику воспользоваться уязвимостями в предыдущих версиях Java.
13.Уязвимость существует из-за ошибки в Java Plug-in при обработке crossdomain.xml файлов. Удаленный пользователь может с помощью недоверенного апплета подключиться к произвольному сайту, который содержит файл crossdomain.xml.
14.Уязвимость существует из-за того, что Java Plug-in позволяет подписанным апплетам частично скрыть содержимое диалога безопасности и обманом заставить пользователя добавить апплет в список доверенных апплетов.
URL производителя: java.sun.com
Решение: Установите последнюю версию с сайта производителя.
Источники: Security Vulnerabilities in the Java Runtime Environment (JRE) LDAP Implementation may Allow a Denial of Service (DoS) and Malicious Code to be ExecutedInteger and Buffer Overflow Vulnerabilities in the Java Runtime Environment (JRE) "unpack200" JAR Unpacking Utility May Lead to Escalation of PrivilegesBuffer Overflow Vulnerabilities in the Java Runtime Environment (JRE) with Processing Image Files and Fonts may Allow Privileges to be EscalatedSecurity Vulnerabilities in the Java Runtime Environment (JRE) With Storing and Processing Font Files May Allow Denial of Service (DOS)A Security Vulnerability in the Java Runtime Environment (JRE) HTTP Server Implementation May Allow a Denial of Service (DoS) Condition on a JAX-WS Service EndpointA Security Vulnerability in the Java Runtime Environment (JRE) Virtual Machine With Code Generation May Allow Escalation of PrivilegesMultiple Security Vulnerabilities in Java Plug-in May Allow Privileges to be Escalated
|
|
|
|
|
| Новости по теме |
| |
|
|
|
|
|
Навигация по порталу: 
