安全研究

安全漏洞
Sun Java JDK/JRE多个安全漏洞

发布日期:2008-03-03
更新日期:2008-03-07

受影响系统:
Sun JDK <= 6 Update 4
Sun JDK <= 5.0 Update 14
Sun JRE <= 6 Update 4
Sun JRE <= 5.0 Update 14
不受影响系统:
Sun JDK 6 Update 5
Sun JDK 5.0 Update 15
Sun JRE 6 Update 5
Sun JRE 5.0 Update 15
描述:
BUGTRAQ  ID: 28083
CVE ID: CVE-2008-1185,CVE-2008-1186,CVE-2008-1187,CVE-2008-1188,CVE-2008-1189,CVE-2008-1190,CVE-2008-1191,CVE-2008-1192,CVE-2008-1194,CVE-2008-1195,CVE-2008-1196

Solaris系统的Java运行时环境(JRE)为JAVA应用程序提供可靠的运行环境。

Sun Java中的多个安全漏洞可能导致拒绝服务,绕过安全限制或入侵有漏洞的系统。

1) Java运行时环境虚拟机中的两个漏洞可能允许不可信任的applet读写本地文件或执行本地应用程序。

2) JRE在处理XSLT转换中的漏洞可能允许不可信任的applet或应用程序读取某些URL资源或执行任意代码。

3) Java Web Start中的多个边界条件错误可能允许不可信任的Java Web Start应用程序读写本地文件或执行本地应用程序。

4) Java Web Start中的错误可能允许恶意的不可信任applet读写本地文件或执行本地应用程序。

5) Java Web Start中的错误可能允许不可信任的Java Web Start应用程序在系统上创建文件,并以运行不可信任Java Web Start应用程序用户的权限执行本地应用程序。

6) Java插件中的漏洞可能允许applet绕过同源策略执行本地应用程序。

7) Java运行时环境图形解析库在处理ICC配置文件时的多个错误可能导致JVM崩溃或写入本地文件并执行本地应用程序。

8) Java运行时环境中的错误可能允许浏览器中的java脚本代码通过Java API创建到网络服务的连接。

9) Java Web Start在处理JNLP文件时的边界错误可能导致在用户访问恶意站点时触发栈溢出。

<*来源:John Heasman (nisr@nextgenss[.]com)
        Chris Evans (chris@ferret.lmh.ox.ac.uk
  
  链接:http://secunia.com/advisories/29239/
        http://marc.info/?l=bugtraq&m=120482758210109&w=2
        http://marc.info/?l=bugtraq&m=120534576230653&w=2
        http://marc.info/?l=bugtraq&m=120534613731138&w=2
        https://www.redhat.com/support/errata/RHSA-2008-0186.html
        http://www.us-cert.gov/cas/techalerts/TA08-066A.html
        http://sunsolve.sun.com/search/printfriendly.do?assetkey=1-66-233326-1
        http://sunsolve.sun.com/search/printfriendly.do?assetkey=1-66-233327-1
        http://sunsolve.sun.com/search/printfriendly.do?assetkey=1-66-233325-1
        http://sunsolve.sun.com/search/printfriendly.do?assetkey=1-66-233324-1
        http://sunsolve.sun.com/search/printfriendly.do?assetkey=1-66-233323-1
        http://sunsolve.sun.com/search/printfriendly.do?assetkey=1-66-233322-1
        http://sunsolve.sun.com/search/printfriendly.do?assetkey=1-66-233321-1
*>

建议:
厂商补丁:

Red Hat
-------
RedHat已经为此发布了一个安全公告(RHSA-2008:0186-01)以及相应补丁:
RHSA-2008:0186-01:Critical: java-1.5.0-sun security update
链接:https://www.redhat.com/support/errata/RHSA-2008-0186.html

Sun
---
Sun已经为此发布了一个安全公告(Sun-Alert-233321)以及相应补丁:
Sun-Alert-233321:Two Security Vulnerabilities in the Java Runtime Environment Virtual Machine
链接:http://sunsolve.sun.com/search/printfriendly.do?assetkey=1-66-233321-1

浏览次数:2853
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障
关于我们
公司介绍
公司荣誉
公司新闻
联系我们
公司总部
分支机构
海外机构
快速链接
绿盟云
绿盟威胁情报中心NTI
技术博客