Sun Java JDK/JRE多个远程安全漏洞
发布日期:2008-07-08
更新日期:2008-07-15
受影响系统:
Sun JDK <= 6 Update 6
Sun JDK <= 5.0 Update 15
Sun JRE <= 6 Update 6
Sun JRE <= 5.0 Update 15
Sun JRE <= 1.4.2_17
Sun JRE <= 1.3.1_22
Sun SDK <= 1.4.2_17
不受影响系统:
Sun JDK 6 Update 7
Sun JDK 5.0 Update 16
Sun JRE 6 Update 7
Sun JRE 5.0 Update 16
Sun JRE 1.4.2_18
Sun JRE 1.3.1_23
Sun SDK 1.4.2_18
描述:BUGTRAQ ID: 30146,30140,30143,30141,30147,30144,30142,30148
CVE(CAN) ID: CVE-2008-3103,CVE-2008-3104,CVE-2008-3105,CVE-2008-3106,CVE-2008-3107,CVE-2008-3108,CVE-2008-3109,CVE-2008-3110,CVE-2008-3111,CVE-2008-3112,CVE-2008-3113,CVE-2008-3114,CVE-2008-3115
Solaris系统的Java运行时环境(JRE)为JAVA应用程序提供可靠的运行环境。
Sun Java中的多个安全漏洞可能允许恶意用户绕过某些安全限制、泄露系统信息、导致拒绝服务或完全***有漏洞的系统。
1) Java运行时环境虚拟机中的漏洞可能允许不可信任的applet读写本地文件或执行本地应用程序。
2) Java管理扩展(JMX)管理代理中的漏洞可能允许JMX客户端在运行启用了本地监控的JMX的系统上执行非授权的操作。
3) Java运行时环境的脚本语言支持中的两个错误允许不可信任的applet从其他applet访问信息、读写本地文件或执行本地应用程序。
4) Java Web Start中的边界条件错误可能允许不可信任的Java Web Start应用导致缓冲区溢出。
5) Java Web Start中的一些错误可能允许不可信任的Java Web Start应用以运行该应用程序用户的权限创建或删除任意文件,或判断Java Web Start缓存的位置。
6) Secure Static Versioning实现中的错误允许在老版本的JRE上运行applet。
7) Java运行时环境中的错误可能允许不可信任的applet绕过同源策略与运行在本地主机上的某些服务创建套接字连接。
8) Java运行时环境在处理某些XML数据时的错误可能允许非授权访问某些URL资源或导致拒绝服务。
9) Java运行时环境处理某些XML数据时的错误可能允许不可信任的applet或应用程序非授权访问某些URL资源。
10) Java运行时环境处理字体时的边界条件错误可能导致缓冲区溢出。
<*来源:John Heasman (
[email]nisr@nextgenss.com[/email])
Gregory Fleischer (gfleischer+
[email]bugzilla@gmail.com[/email])
链接:
[url]http://secunia.com/advisories/31010/[/url]
[url]https://www.redhat.com/support/errata/RHSA-2008-0555.html[/url]
[url]https://www.redhat.com/support/errata/RHSA-2008-0594.html[/url]
[url]https://www.redhat.com/support/errata/RHSA-2008-0595.html[/url]
[url]http://www.us-cert.gov/cas/techalerts/TA08-193A.html[/url]
[url]http://sunsolve.sun.com/search/printf[/url] ... do?assetkey=1-66-238687-1
[url]http://sunsolve.sun.com/search/printf[/url] ... do?assetkey=1-66-238965-1
[url]http://sunsolve.sun.com/search/printf[/url] ... do?assetkey=1-66-238628-1
[url]http://sunsolve.sun.com/search/printf[/url] ... do?assetkey=1-66-238968-1
[url]http://sunsolve.sun.com/search/printf[/url] ... do?assetkey=1-66-238966-1
[url]http://sunsolve.sun.com/search/printf[/url] ... do?assetkey=1-66-238666-1
[url]http://sunsolve.sun.com/search/printf[/url] ... do?assetkey=1-66-238967-1
[url]http://sunsolve.sun.com/search/document.do?assetkey=1-66-238905-1[/url]
*>
建议:厂商补丁:
RedHat
------
RedHat已经为此发布了一个安全公告(RHSA-2008:0595-01)以及相应补丁:
RHSA-2008:0595-01:Critical: java-1.5.0-sun security update
链接:
[url]https://www.redhat.com/support/errata/RHSA-2008-0595.html[/url]
Sun
---
Sun已经为此发布了一个安全公告(Sun-Alert-238905)以及相应补丁:
Sun-Alert-238905:Multiple Security Vulnerabilities in Java Web Start may allow Privileges to be Elevated
链接:
[url]http://sunsolve.sun.com/search/document.do?assetkey=1-66-238905-1[/url]
转载于:https://blog.51cto.com/liancao/89686