commbean java_Oracle Java 7 JmxMBeanServer类远程代码执行漏洞

最新推荐文章于 2024-02-23 10:38:54 发布
最新推荐文章于 2024-02-23 10:38:54 发布
阅读量171 收藏
点赞数
文章标签: commbean java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35952352/article/details/114812433
版权

BUGTRAQ ID: 57246

CVE ID: CVE-2013-0422

Oracle Java Runtime Environment (JRE)是一款为JAVA应用程序提供可靠运行环境的解决方案。

Oracle JRE7环境中的jmx.mbeanserver.JmxMBeanServer类存在沙盒绕过漏洞使得远程攻击者可以绕过java securityManager的检查远程执行任意java代码控制用户系统。

目前已知受影响环境为最新版本Oracle JRE7 update 10及其更早版本。经测试Oracle Java 6不受影响。

0

Oracle Java 7 Update 10

临时解决方法:

如果您不能立刻安装补丁或者升级,建议您采取以下措施以降低威胁:

* 在浏览器中暂时禁用Java

参考:http://krebsonsecurity.com/how-to-unplug-java-from-the-browser/

对于Windows用户:

1) Firefox

工具->附加组件(Ctrl-Shift-A)->插件,将所有带有Java字样的禁用,重启Firefox。

安装NoScript扩展,NoScript选项->嵌入的对象->禁止Java

2) Chrome

点击右上角的扳手->设置->点击最下面的"显示高级设置"->隐私设置->内容设置->插件

->停用单个插件->Java->停用

3) IE

如果您已经升级到JRE 7 update 10可以利用它新增的一个安全特性来禁用JAVA。

打开控制面板,搜索Java,在java控制面板中选择"安全",然后清空"Enable Java

content in the browser"的复选框。

http://www.java.com/en/download/help/disable_browser.xml

对于JRE 7 update 10以下的版本:

控制面板->Java->Java->查看->用户->禁用所有版本的JRE(Java运行时环境)

控制面板->Java->Java->查看->系统->禁用所有版本的JRE(Java运行时环境)

但是这一方法只适用于XP、2003,不适用于Vista、Win7等高版本的Windows,你无法清

空相应的启用复选框。此时需要使用regedit修改注册表。

这个注册表键值位于:

--------------------------------------------------------------------------

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\JavaSoft\Java Plug-in]

[HKEY_LOCAL_MACHINE\SOFTWARE\JavaSoft\Java Plug-in\<版本号>]

"UseJava2IExplorer"=dword:00000001

--------------------------------------------------------------------------

所有版本的Java都有一个UseJava2IExplorer,其值缺省为1,修改成0即可禁用Java。

如果是64位系统也安装了32位Java的话,相关注册表键值位于:

--------------------------------------------------------------------------

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\JavaSoft\Java Plug-in]

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\JavaSoft\Java Plug-in\<版本号>]

"UseJava2IExplorer"=dword:00000001

--------------------------------------------------------------------------

厂商补丁:

Oracle

------

Oracle已经发布了针对该漏洞的补丁Java 7 update 11和相关安全公告:

http://www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html

建议Java用户尽快安装最新的升级包。

对于Windows 用户,首先您应当在控制面板->添加或删除程序(Win7下是控制面板->程序->程序和功能)中确认您是否已经安装java,以及安装的版本,例如是JDK还是JRE,是32位还是64位。如果您尚未安装Java,则不必继续下面的操作。

对于java开发人员,可以从下列链接手工下载最新的Java SE JDK 7和 JRE 7:

http://www.oracle.com/technetwork/java/javase/downloads/index.html

对于通过浏览器使用Java SE的普通用户,可以直接访问http://java.com ,根据提示信息下载最新的java JRE。如果您在使用64位Windows系统,您可能需要分别使用32位和64位的浏览器来访问java.com以分别下载32位和64位的JRE。

loading-bars.svg

于日
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Oracle+Weblogic+Server+Java反序列化漏洞 解决方案
04-20
Oracle+Weblogic+Server+Java反序列化漏洞 解决方案 Oracle+Weblogic+Server+Java反序列化漏洞 解决方案
Oracle Java 7 JmxMBeanServer类远程代码执行漏洞
weixin_30252709的博客
01-14 144
漏洞版本: Oracle Java 7 Update 10 漏洞描述: Oracle Java Runtime Environment (JRE)是一款为JAVA应用程序提供可靠运行环境的解决方案。 Oracle JRE7环境中的jmx.mbeanserver.JmxMBeanServer类存在沙盒绕过漏洞使得远程攻击者可以绕过java securityManager的检查...
java applet运行jmx_Java Applet JMX远程代码执行漏洞预警 -电脑资料
weixin_42505576的博客
02-13 135
### This file is part of the Metasploit Framework and may be subject to# redistribution and commercial restrictions. Please see the Metasploit# web site for more information on licensing and terms of ...
远程访问JMS MBean
pryjava的专栏
02-12 113
[code="java"] Properties props = new Properties(); props.put(InitialContext.INITIAL_CONTEXT_FACTORY, "org.jnp.interfaces.NamingContextFactory"); props.put(InitialContext.PROVIDER_URL, "localhost:1...
java jmx agent不安全的配置漏洞
最新发布
Innocence_0的博客
02-23 1454
Java JMX(Java Management Extensions)是一套由SunMicrosystems(现在为Oracle公司)提供的管理Java应用程序的API,使得开发人员可以通过该API,在应用程序运行过程中获取和修改应用程序在JVM上的各种信息和状态。但是如果JMXAgent的配置存在不当,则可能会导致安全问题。
Java_oracle_creat_inset_delete.rar_java 连接oracle_oracle_oracle 操
09-20
在IT行业中,数据库管理和编程是两个非常重要的领域。...通过阅读"Java_oracle_creat_inset_delete.txt"文件,可以更深入地学习这些细节和示例代码。记得在完成操作后关闭数据库连接,以避免资源浪费和潜在的问题。
ATM.rar_atm java_oracle
09-20
开发者可能使用了JDBC(Java Database Connectivity)API来建立Java程序与Oracle数据库之间的连接,执行SQL语句进行数据的增删改查操作。这包括创建用户表、账户表和交易历史表,以及相应的数据验证和事务管理。 ...
java-oracle.zip_java oracle_java web oracle_oracle
09-24
JDBC提供了一组接口和类,使得Java程序可以执行SQL语句,读取和更新数据库中的数据。在Java中,我们需要引入Oracle的JDBC驱动,通常为ojdbc.jar,以便建立与Oracle数据库的连接。在项目中,我们通常会在类路径下添加...
java-oracle中几十个实用的PLSQL.rar_Java plsql_oracle_oracle java_oracle
09-20
通过JDBC,Java代码可以执行PL/SQL块,调用存储过程,以及处理查询结果。 例如,`java-oracle中几十个实用的PLSQL.doc`可能是包含了一系列在Java应用中可以使用的PL/SQL示例。这些示例可能涵盖从基础的CRUD操作...
BBS.rar_bbs oracle_java bbs oracle_oracle
09-19
标题中的"BBS.rar"可能是一个包含BBS(Bulletin Board System,电子公告板系统)源代码或配置文件的压缩包,而“bbs oracle_java bbs oracle_oracle”这部分描述了这个论坛系统的两个主要技术组件:Oracle数据库和...
JMX整理
weixin_34221112的博客
04-13 176
为什么80%的码农都做不了架构师?>>> ...
安装 SQLServer2016 出错提示:未安装 Oracle Java SE Runtime Environment 版本 7 更新 51 (64 位)
m0_46511220的博客
09-16 4343
安装 SQLServer2016 出错提示:未安装 Oracle Java SE Runtime Environment 版本 7 更新 51 (64 位)
JVM内存溢出分析
Owen Fang的博客
04-16 1199
我们在使用java开发程序的过程中,一定会碰到到内存溢出异常(java.lang.OutOfMemoryError)。下面我来看一下出现内存溢出的原因和解决办法。 1.启动参数内存值设定的过小。 调整JVM启动参数,-Xmx JVM使用的最大内存,运行过程中超过这个内存就会报内存溢出异常,-Xms JVM初始内存,启动的时候就占用的内存。如果机器内存够就加机器内存。 2.代码问题 我们重点...
JAVAJMX agent不安全的配漏洞修复
weixin_45536357的博客
07-25 1798
3、复制jmxremote.password.template生成jmxremote.password文件,然后删除jmxremote.password文件中所有内容。2) 将# com.sun.management.jmxremote.ssl=false修改为 (需要ssl则设置为true。3)将# com.sun.management.jmxremote.authenticate=false修改为。1) 将# com.sun.management.jmxremote.port=修改为。
【JVM】JVM性能调优——JVM内存模型及垃圾收集算法、内存泄露及解决方法、性能调优
your_棒棒糖的博客
06-05 632
目录一、JVM内存模型及垃圾收集算法二、内存泄漏及解决方法三、性能调优JVM调优总结:JVM调优调优的基本概念什么是调优调优,从规划开始案例分析-Xmx1024m -Xms1024m -Xmn512m -Xss256k扩展参数说明: 一、JVM内存模型及垃圾收集算法 1.根据Java虚拟机规范,JVM将内存划分为: New(年轻代) Tenured(年老代) 永久代(Perm) 其中New和Tenured属于堆内存,堆内存会从JVM启动参数(-Xmx:3G)指定的内存中分配,Perm不属于堆内存,由虚拟
JVM Dump方法以及内存泄漏分析方法
hu00848的专栏
03-29 2888
一、自动生成Dump(JMX的MBean) JVM启动参数配置: -XX:+HeapDumpOnOutOfMemoryError -XX:HeapDumpPath=/home/app/dumps/ 二、手动生成Dump jmap -dump:format=b,file=../dump/testdump0329.hprof 9018 三、内存泄漏分析 1、查看大对象,并梳理调用关系(VisualVM、JProfile、MAT) 2、查看 崩溃前垃圾回收的时间越来越长 四、性能调优 1、
Ubuntu 12.04 下安装 JDK 7
wugewuge的专栏
09-13 2004
在 Ubuntu 12.04 下安装 Oracle Java JDK 7 如果你还想知道在Ubuntu 12.04下如何安装 Oracle Java Runtime Environment (JRE) ,猛击这里(To be continue... :) ). 在今天的主题里,我将向你展示如何在Ubuntu下安装 Oracle Java (JDK) 7。 当然,眼下有很多博客提供了更为简单的安
java jre怎么安装_Java Runtime Environment怎么安装 JRE安装详细图文教程
weixin_39855869的博客
02-16 1874
Java Runtime Environment是运行java程序所必需的最小安装包,是java的核心运行环境。那么我们要怎么安装Java Runtime Environment,今天小编就为大家提供Java Runtime Environment安装教程。软件名称:Java Runtime Environment(JRE7) V7 Update 67 官方最新版软件大小:25.7MB更新时间:2...
java安装jre_Java Runtime Environment怎么安装 JRE安装详细图文教程
weixin_40007541的博客
02-20 1227
Java Runtime Environment是运行java程序所必需的最小安装包,是java的核心运行环境。那么我们要怎么安装Java Runtime Environment,今天小编就为大家提供Java Runtime Environment安装教程。软件名称:Java Runtime Environment(JRE7) V7 Update 67 官方最新版软件大小:25.7MB更新时间:2...
java linux oracle数据库_Oracle数据库通过linux远程访问sqlplus
06-06
要通过 Linux 远程访问 Oracle 数据库,需要先安装 Oracle 客户端,然后使用 sqlplus 工具连接数据库。以下是具体步骤: 1. 下载并安装 Oracle 客户端。需要选择与数据库版本相同的客户端,然后按照安装向导进行安装。 2. 在 Linux 中打开终端,输入以下命令连接数据库: ``` sqlplus username/password@host:port/service_name ``` 其中,`username` 是数据库用户名,`password` 是密码,`host` 是数据库所在主机的 IP 地址或主机名,`port` 是 Oracle 监听端口,默认为 1521,`service_name` 是数据库的服务名。 例如,如果数据库用户名为 `scott`,密码为 `tiger`,数据库所在主机的 IP 地址为 `192.168.1.100`,监听端口为默认值 1521,服务名为 `orcl`,则连接命令如下: ``` sqlplus scott/tiger@192.168.1.100:1521/orcl ``` 3. 输入连接命令后,如果连接成功,则会提示输入 SQL 命令或 PL/SQL 代码。可以输入 `exit` 命令退出 sqlplus 工具。 注意:在 Linux 中使用 sqlplus 工具连接 Oracle 数据库时,可能会遇到字符集问题。可以在连接命令中加上字符集参数,例如: ``` sqlplus scott/tiger@192.168.1.100:1521/orcl \ set nls_lang=AMERICAN_AMERICA.AL32UTF8 ``` 其中,`set nls_lang` 命令设置字符集为 AL32UTF8。如果仍然无法解决字符集问题,可以在 Oracle 客户端安装时选择支持所需字符集的组件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值