Oracle Java SE sérülékenységek
Angol cím: 
Oracle Java SE Multiple Vulnerabilities
CERT-Hungary ID: 
CH-5792
Felfedezés dátuma: 
2011-10-19
Összefoglaló: 

Az Oracle Java SE olyan sérülékenységeit jelentették, amelyeket rosszindulatú felhasználók kihasználva bizonyos adatokat szivárogtathatnak ki, valamint a támadók bizalmas adatokat szivárogtathatnak ki, eltéríthetik a felhasználó munkamenetét, DNS cache mérgezés (poisoning) támadásokat hajthatnak végre, bizonyos adatokat módosíthatnak, szolgáltatás megtagadást (DoS - Denial of Service) idézhetnek elő és feltörhetik a sérülékeny rendszert.

Leírás: 
  1. A Secure Sockets Layer 3.0 (SSL) és Transport Layer Security 1.0 (TLS) protokollok egy tervezési hibája miatt bizalmas adatok fedhetők fel, pl. egy Man-in-the-Middle (MitM) támadás során.
  2. A telepítő komponens egy hibája miatt tetszőleges kód futtatható egy kliens telepítés során, pl. nem megbízható kisalkalmazások segítségével.
    Ez a sérülékenység csak a Windows alapú platformokat érinti.
  3. A deszerializációs komponens egy hibája miatt tetszőleges kód futtatható egy kliens telepítés során, pl. nem megbízható kisalkalmazások segítségével.
  4. A scripting komponens egy bemenet ellenőrzése során, amikor Rhino Javascript kezelési hibák lépnek fel, tetszőleges kód futtatható egy kliens telepítés során, pl. nem megbízható kisalkalmazások segítségével.
  5. A jsound.dll előjel hibája miatt, amikor egy függvény visszajelzéseket kap egy MIDI hangfolyam vezérlő események változásairól, kihasználható a halom alapú memória megváltoztatására.
  6. A telepítő komponens egy hibája miatt bizonyos adatok kiszivárogtathatóak és módosíthatóak egy kliens telepítés során, pl. nem megbízható kisalkalmazások segítségével.
  7. A hálózati komponens egy hibája miatt bizonyos adatok kiszivárogtathatóak egy kliens telepítés során pl. nem megbízható kisalkalmazások segítségével.
  8. Az AWT komponens egy hibája miatt tetszőleges kód futtatható egy kliens telepítés során, pl. nem megbízható kisalkalmazások segítségével.
  9. A Swing komponens egy hibája miatt tetszőleges kód futtatható egy kliens telepítés során, pl. nem megbízható kisalkalmazások segítségével.
  10. Az AWT komponens egy hibája miatt tetszőleges kód futtatható egy kliens telepítés során, pl. nem megbízható kisalkalmazások segítségével.
  11. A 2D komponens egy hibája miatt tetszőleges kód futtatható egy kliens és szerver telepítés során, pl. nem megbízható kisalkalmazások vagy API-knak webszolgáltatáson keresztül küldött adatok segítségével.
  12. A java.net.Socket API nem megfelelő módon korlátozza az egy időben használt UDP socketek számát, ami kihasználható DNS cache mérgezéses támadás végrehajtására a rendelkezésre álló socketek felhasználásával, pl. ha a felhasználó meglátogat egy kártékony kisalkalmazásokat tartalmazó weboldalt.
    Ez a következő sérülékenységgel állhat összefüggésben:
    CERT-Hungary CH-4336 19. pont
  13. A JAXWS komponens egy hibája miatt bizonyos adatok kiszivárogtathatóak egy szerver telepítés során pl. API-knak webszolgáltatáson keresztül küldött adatok segítségével.
  14. A Java Runtime Environment komponens egy hibája miatt tetszőleges kód futtatható egy kliens telepítés során, pl. nem megbízható kisalkalmazások segítségével.
  15. A Java Runtime Environment komponens egy hibája miatt bizonyos adatok manipulálhatóak és szolgáltatás megtagadást (DoS - Denial of Service) lehetséges előidézni egy kliens telepítés során, pl. nem megbízható kisalkalmazások segítségével.
  16. Az RMI komponens egy hibája miatt bizonyos adatok kiszivárogtathatóak és manipulálhatóak illetve szolgáltatás megtagadást (DoS - Denial of Service) lehetséges előidézni egy RMI szerver telepítés során.
  17. Az RMI komponens egy hibája miatt bizonyos adatok kiszivárogtathatóak és manipulálhatóak illetve szolgáltatás megtagadást (DoS - Denial of Service) lehetséges előidézni egy RMI szerver telepítés során.
  18. A HotSpot komponens egy hibája miatt bizonyos adatok kiszivárogtathatóak egy kliens telepítés során, pl. nem megbízható kisalkalmazások segítségével.
  19. A JSSE komponens egy hibája miatt bizonyos adatok kiszivárogtathatóak és manipulálhatóak egy kliens telepítés során, pl. nem megbízható kisalkalmazások segítségével.
  20. A telepítő komponens egy hibája miatt bizonyos adatok kiszivárogtathatóak egy kliens telepítés során, pl. nem megbízható kisalkalmazások segítségével.
Megoldás: 
Frissítsen a legújabb verzióra
Érintett verziók: 
Oracle Java JDK 1.7.x (7.x)
Oracle Java JRE 1.7.x (7.x)
Sun Java JDK 1.5.x, 1.6.x (6.x)
Sun Java JRE 1.4.x, 1.5.x (5.x), 1.6.x (6.x)
Sun Java SDK 1.4.x