Sun Java JDK/JRE多个远程安全漏洞

最新推荐文章于 2022-09-04 14:56:17 发布
最新推荐文章于 2022-09-04 14:56:17 发布
阅读量137 收藏
点赞数
文章标签: java 运维
原文链接:http://blog.51cto.com/liancao/89686
版权
Sun Java JDK/JRE多个远程安全漏洞

发布日期:2008-07-08

更新日期:2008-07-15



受影响系统:



Sun JDK <= 6 Update 6

Sun JDK <= 5.0 Update 15

Sun JRE <= 6 Update 6

Sun JRE <= 5.0 Update 15

Sun JRE <= 1.4.2_17

Sun JRE <= 1.3.1_22

Sun SDK <= 1.4.2_17



不受影响系统:



Sun JDK 6 Update 7

Sun JDK 5.0 Update 16

Sun JRE 6 Update 7

Sun JRE 5.0 Update 16

Sun JRE 1.4.2_18

Sun JRE 1.3.1_23

Sun SDK 1.4.2_18



描述:BUGTRAQ ID: 30146,30140,30143,30141,30147,30144,30142,30148

CVE(CAN) ID: CVE-2008-3103,CVE-2008-3104,CVE-2008-3105,CVE-2008-3106,CVE-2008-3107,CVE-2008-3108,CVE-2008-3109,CVE-2008-3110,CVE-2008-3111,CVE-2008-3112,CVE-2008-3113,CVE-2008-3114,CVE-2008-3115



Solaris系统的Java运行时环境(JRE)为JAVA应用程序提供可靠的运行环境。







Sun Java中的多个安全漏洞可能允许恶意用户绕过某些安全限制、泄露系统信息、导致拒绝服务或完全***有漏洞的系统。







1) Java运行时环境虚拟机中的漏洞可能允许不可信任的applet读写本地文件或执行本地应用程序。







2) Java管理扩展(JMX)管理代理中的漏洞可能允许JMX客户端在运行启用了本地监控的JMX的系统上执行非授权的操作。







3) Java运行时环境的脚本语言支持中的两个错误允许不可信任的applet从其他applet访问信息、读写本地文件或执行本地应用程序。







4) Java Web Start中的边界条件错误可能允许不可信任的Java Web Start应用导致缓冲区溢出。







5) Java Web Start中的一些错误可能允许不可信任的Java Web Start应用以运行该应用程序用户的权限创建或删除任意文件,或判断Java Web Start缓存的位置。







6) Secure Static Versioning实现中的错误允许在老版本的JRE上运行applet。







7) Java运行时环境中的错误可能允许不可信任的applet绕过同源策略与运行在本地主机上的某些服务创建套接字连接。







8) Java运行时环境在处理某些XML数据时的错误可能允许非授权访问某些URL资源或导致拒绝服务。







9) Java运行时环境处理某些XML数据时的错误可能允许不可信任的applet或应用程序非授权访问某些URL资源。







10) Java运行时环境处理字体时的边界条件错误可能导致缓冲区溢出。



<*来源:John Heasman ( [email]nisr@nextgenss.com[/email]

Gregory Fleischer (gfleischer+ [email]bugzilla@gmail.com[/email]



链接: [url]http://secunia.com/advisories/31010/[/url]

[url]https://www.redhat.com/support/errata/RHSA-2008-0555.html[/url]

[url]https://www.redhat.com/support/errata/RHSA-2008-0594.html[/url]

[url]https://www.redhat.com/support/errata/RHSA-2008-0595.html[/url]

[url]http://www.us-cert.gov/cas/techalerts/TA08-193A.html[/url]

[url]http://sunsolve.sun.com/search/printf[/url] ... do?assetkey=1-66-238687-1

[url]http://sunsolve.sun.com/search/printf[/url] ... do?assetkey=1-66-238965-1

[url]http://sunsolve.sun.com/search/printf[/url] ... do?assetkey=1-66-238628-1

[url]http://sunsolve.sun.com/search/printf[/url] ... do?assetkey=1-66-238968-1

[url]http://sunsolve.sun.com/search/printf[/url] ... do?assetkey=1-66-238966-1

[url]http://sunsolve.sun.com/search/printf[/url] ... do?assetkey=1-66-238666-1

[url]http://sunsolve.sun.com/search/printf[/url] ... do?assetkey=1-66-238967-1

[url]http://sunsolve.sun.com/search/document.do?assetkey=1-66-238905-1[/url]

*>



建议:厂商补丁:



RedHat

------

RedHat已经为此发布了一个安全公告(RHSA-2008:0595-01)以及相应补丁:



RHSA-2008:0595-01:Critical: java-1.5.0-sun security update



链接: [url]https://www.redhat.com/support/errata/RHSA-2008-0595.html[/url]



Sun

---

Sun已经为此发布了一个安全公告(Sun-Alert-238905)以及相应补丁:



Sun-Alert-238905:Multiple Security Vulnerabilities in Java Web Start may allow Privileges to be Elevated



链接: [url]http://sunsolve.sun.com/search/document.do?assetkey=1-66-238905-1[/url]

转载于:https://blog.51cto.com/liancao/89686

weixin_33831673
关注
Sun发现并修复两个“高度危险”级Java漏洞
java专栏
05-25 499
google_ad_client = "pub-8800625213955058";/* 336x280, 创建于 07-11-21 */google_ad_slot = "0989131976";google_ad_width = 336;google_ad_height = 280;//<script type="text/java
FastJson远程命令执行漏洞
PassionNingG的博客
09-03 1395
fastjson的漏洞其实就是fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类中连接远程主机,通过其中的恶意类执行代码。笔记只做学习记录分享。文章内容多来于如有侵权立删。# FastJson远程命令执行漏洞学习笔记fastjson用于将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。
java glassfish漏洞_Oracle Sun GlassFish/Java System Application Server远程身份验证绕过漏洞...
weixin_39969060的博客
03-04 284
发布日期:2011-04-19更新日期:2011-04-19受影响系统:Oracle Sun Java System Application Server Platform Editio 9.1Oracle Sun Glassfish Enterprise Server 3.0.1Oracle Sun Glassfish Enterprise Server 2.1.1Oracle Sun Glas...
Sun Java System本地绕过的漏洞
java专栏
05-25 462
google_ad_client = "pub-8800625213955058";/* 336x280, 创建于 07-11-21 */google_ad_slot = "0989131976";google_ad_width = 336;google_ad_height = 280;//<script type="text/java
JRE8u20反序列化漏洞
xiaoWhite_meng的博客
07-10 828
JRE8u20反序列化漏洞分析美丽联合安全MLSRC2018-07-09共16208人围观WEB安全漏洞0×00 TLDR之前在第一篇文章中我们简单的讲了一下Java的序列化机制,即通过ObjectOutputStream和ObjectInputStream来实现序列化和反序列化,但是内部的机制和原理一并跳过了。JRE8u20这个漏洞是其他人在之前JDK7u21的基础上进行改进得到了,他绕过了Ja...
FastJson远程命令执行漏洞学习笔记
ch98000的博客
09-04 458
fastjson用于将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。fastjson.jar是阿里开发的一款专门用于Java开发的包,可以方便的实现json对象与JavaBean对象的转换,实现JavaBean对象与json字符串的转换,实现json对象与json字符串的转换。
2020-10-27 Java背景、JDK总结
weixin_47632676的博客
10-27 732
计算机简单基础、Java背景和JDK—— Java1 计算机基础计算机软件计算机背景二进制、十进制、十六进制Java基础Java的背景Java是什么?Java的由来?Java之父各版本发布的时间线Java的技术应用开始学习JavaJava平台版本JavaSE 标准版JavaME 小型版JavaEE 企业版Java的优点简单性面向对象分布式编译和解释性健壮性安全性可移植性高性能多线程开源跨平台动态性jdkjre、jvm的关系01.JDKJava开发工具包)02.JREJava运行时环境)03.JVM(J
Log4j漏洞调研,源码浅解析
weixin_44029684的博客
12-17 1570
最近log4j的安全漏洞突然冒了出来,用了许久slf4j的我吓得赶紧翻遍了依赖,发现自己用的依赖并没有依赖上log4j-core,长吁一口气。吃了个午饭后转念一想我又没工作,也没啥线上项目在跑,何故担心这些问题?wc,那倒腾半天不就白整了,不行,反正这漏洞在java圈也挺大的,不如顺便研究一波,在未来应聘时也有聊的地方。 全文几乎都是站在巨人的肩膀上完成的,新人技术不佳,还望轻喷。
Web中间件常见安全漏洞
KHOST的博客
03-19 8365
第一章:IIS IIS 6 解析漏洞 IIS 7 解析漏洞 PUT任意文件写入 IIS短文件漏洞 HTTP.SYS远程代码执行 (MS15-034) RCE-CVE-2017-7269 第二章:Apache 未知扩展名解析漏洞 AddHandler导致的解析漏洞 ...
win10安装cuda9.2检查时报错
changquanhao的博客
11-16 1141
cuda9.2安装时 出现如下报错 Microsoft Visual C++ Runtime Libtaty Runtime Error! This applocation has requested the Runtime to terminate it in an unusual way. Please contact the application's support team for m...
访问限制:由于对必需的库C:\Program Files\Java\jre1.8.0_20\lib\rt.jar具有一定限制,Dom xml中jar包无法导入
lu18225857116的博客
08-05 3028
初使用eclipse编辑器编写java程序时,调用窗体对象时,若出现如下问题时:         访问限制:由于对必需的库C:\Program Files\Java\jre1.8.0_20\lib\rt.jar具有一定限制,因此无法访问构造函数JFrame() 如下图: 解决方法: 1、右键该项目(如:QQ)----&gt;  构造路径  ----&gt;  配置构造路径,如下图:...
如何给esxi打补丁
weixin_33885253的博客
11-12 6022
概述 早上起来很无聊,想着今天可以折腾什么东西,看着esxi的build版本于是就想着要不升级一下吧,反正现在的虚拟机不是很多。于是那就升级一下吧 操作 首先看下自己的build版本,我的是 6.5.0 Update 2 (Build 8294253) 之后打开官网 https://my.vmware.com/group/vmware/patch#se...
安全漏洞概念及分类
maoji的专栏
10-12 3万+
本文是一个安全漏洞相关的科普,介绍安全漏洞的概念认识,漏洞在几个维度上的分类及实例展示。 安全漏洞及相关的概念 本节介绍什么是安全漏洞及相关的概况。 安全漏洞的定义 我们经常听到漏洞这个概念,可什么是安全漏洞?想给它一个清晰完整的定义其实是非常困难的。如果你去搜索一下对于漏洞的定义,基本上会发现高大上的学术界和讲求实用的工业界各有各的说法,漏洞相关的各种角色,比如研究者、厂商、
Apache Tomcat 信息泄露及远程代码执行漏洞分析与防护
朔方飞絮谈安全
10-26 6196
Apache和Tomcat都是WEB网络服务器,一般Apache是静态解析,tomcat是java应用服务器,动态解析jsp、php等,是一个容器(servlet),可以独立于apache运行。打个比方:Apache是一辆车,上面可以装东西,比如html等;但不能装水,要装水必须要有容器(桶),而这个桶也可以不放在车上,这个就是Tomcat。
DS_Store文件泄漏总结
王嘟嘟的博客
04-08 1万+
0x00 前言 导航:https://blog.csdn.net/qq_36869808/article/details/88895109 0x01 基础 .DS_Store是Mac下Finder用来保存如何展示文件//文件夹的数据文件,每个文件夹下对应一个。由于开发/设计人员在发布代码时未删除文件夹中隐藏的.DS_store,可能造成文件目录结构泄漏、源代码文件等敏感信息的泄露。 0x02 漏洞...
Microsoft Windows远程桌面协议中间人攻击漏洞(CVE-2005-1794)解决方案
热门推荐
安全小白的博客
06-12 4万+
Microsoft Windows远程桌面协议中间人攻击漏洞(CVE-2005-1794)解决方案1.系统版本:windows server 2003 2.漏洞:CVE-2005-1794 3.修复方案: 漏洞介绍: Microsoft Windows远程桌面协议用于连接Windows终端服务。 Windows远程桌面协议客户端没有验证会话的服务器公共密钥,远程攻击者可以利用这个漏洞通过Man
Java基础面试题精华:特点、JVM/JDK/JRE详解
- 旧版本C++多线程对比:虽然C++11引入多线程库,但Java的多线程优势仍然突出。 2. **JVM、JDKJRE的区别**: - JVM(Java Virtual Machine):负责执行Java字节码的运行环境,独立于具体硬件平台。 - JDK...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值