Sikkerhedssårbarheder i LDAP-implementeringen i Java Runtime Environment (JRE) LDAP kan muliggøre et lammelsesangreb (DoS) og udførelse af ondsindet kode

BY admin
|
Kategori
Sikkerhed
Udgivelsesfase
Resolved

Fejlnummer
6717680, 6737315
Dato for løst udgivelse
24-mar-2009
Sikkerhedssårbarheder i implementeringen af LDAP i Java Runtime Environment (JRE) kan gøre det muligt at udføre et lammelsesangreb (DoS) og skadelig kode:
1. Konsekvenser
CR 6717680:
En sikkerhedssårbarhed i Java Runtime Environment (JRE) i forbindelse med initialisering af LDAP-forbindelser kan udnyttes af en fjernklient til at forårsage en Denial of Service (DoS)-tilstand på LDAP-tjenesten.
CR 6737315:
En sikkerhedssårbarhed i Java Runtime Environment LDAP-klientimplementeringen kan gøre det muligt for skadelige data fra en LDAP-server at forårsage, at skadelig kode uventet indlæses og udføres på en LDAP-klient.
2. Medvirkende faktorer
Disse problemer kan forekomme i følgende Java SE- og Java SE for Business-udgaver til Windows, Solaris og Linux:

  • JDK og JRE 5.0 Update 17 og tidligere
  • JDK og JRE 6 Update 12 og tidligere

og i følgende Java SE for Business-udgave til Windows, Solaris og Linux:

  • SDK og JRE 1.4.2_19 og tidligere

og i følgende Java SE-udgave til Windows og Solaris:

  • SDK og JRE 1.3.1_24 og tidligere

For at bestemme den version af Java, der er installeret på et system, kan følgendekommando anvendes:

 % java -version
java version "1.5.0_17

For at bestemme standardversionen af den JRE, som Internet Explorer bruger, henvises til følgende URL:

  • http://java.com/en/download/installed.jsp?detect=jre&try=1

For at bestemme standardversionen af den JRE, som Mozilla- eller Firefoxbrowsere bruger, henvises til URL’en “about:plugins”. Browseren vil vise en side kaldet “Installed plug-ins”, som viser versionen af JavaPlug-in’et:

 Java(TM) Platform SE 6 U11

I dette eksempel er den version af JRE, som browseren bruger, 6Update 11.
3.Symptomer
Hvis det problem, der er beskrevet i CR 6717680, opstår, kan LDAP-tjenesten ikke reagere.
Der er ingen pålidelige symptomer, der indikerer, at det problem, der er beskrevet i CR 6737315, er blevet udnyttet.
4. Løsning
Der findes ingen løsninger på disse problemer. Se venligst afsnittetLøsning nedenfor.
5. Løsning
Disse problemer er behandlet i følgende udgivelser:

  • JDK og JRE 6 Update 13 eller nyere
  • JDK og JRE 5.0 Update 18 eller senere

og i følgende Java SE for Business-udgave til Windows, Solaris og Linux:

  • SDK og JRE 1.4.2_20 eller senere

og i følgende Java SE-udgave til Windows og Solaris:

  • SDK og JRE 1.3.1_25 eller nyere

Java SE-udgivelser er tilgængelige på:
JDK og JRE 6 Update 13:

  • http://java.sun.com/javase/downloads/index.jsp

JRE 6 Update 13:

  • http://java.com/
  • Gennem Java Updatetool for Microsoft Windows-brugere

JDK 6 Update 13 til Solaris er tilgængelig i følgende patches:

  • Java SE 6: opdatering 13 (som leveret i patch 125136-14)
  • Java SE 6: opdatering 13 (som leveret i patch 125137-14 (64bit))
  • Java SE 6_x86: opdatering 13 (som leveret i patch 125138-14)
  • Java SE 6_x86: opdatering 13 (som leveret i patch 125139-14 (64bit))

JDK og JRE 5.0 Update 18:

  • http://java.sun.com/javase/downloads/index_jdk5.jsp

JDK 5.0 Update 18 til Solaris er tilgængelig i følgende patches:

  • J2SE 5.0: opdatering 18 (som leveret i patch 118666-19)
  • J2SE 5.0: opdatering 18 (som leveret i patch 118667-19 (64bit))
  • J2SE 5.0: opdatering 18 (som leveret i patch 118667-19 (64bit))
  • J2SE 5.0_x86: opdatering 18 (som leveret i patch 118668-19)
  • J2SE 5.0_x86: opdatering 18 (som leveret i patch 118669-19 (64bit))

Java SE for Business-udgivelser er tilgængelige på:

  • http://www.sun.com/software/javaseforbusiness/getit_download.jsp

Bemærk 1: Java SE-udgivelserneSDK og JRE 1.4.2 har afsluttet Sun End of Service Life (EOSL)-processen. Sun anbefaler, at brugerne opgraderer til den seneste Java SE-udgave. Kunder, der er interesserede i fortsat at modtage kritiske rettelser til SDK og JRE 1.4.2, opfordres til at migrere til Java SE for Business.
Note 2: SDK og JRE 1.3.1 har afsluttet Suns EOSL-proces (End of Service Life) og understøttes kun af kunder med supportkontrakter for Solaris 8 og Vintage Support Offerings (se http://java.sun.com/j2se/1.3/download.html).Sun anbefaler på det kraftigste, at brugerne opgraderer til den seneste Java SE-udgave.
Note 3: Når du installerer en ny version af produktet fra en anden kilde end en Solaris-patch, anbefales det, at de gamle berørte versioner fjernes fra dit system.For at fjerne gamle berørte versioner på Windows-platformen, se:

  • http://www.java.com/en/download/help/5000010800.xml

For yderligere oplysninger om sikkerhedsvarsler fra Sun, se 1009886.1.
Denne meddelelse om Sun-varsler gives til dig på et “SOM DET ER”-grundlag. Denne Sun Alert-meddelelse kan indeholde oplysninger, der er leveret af tredjeparter. De problemer, der er beskrevet i denne Sun Alert-meddelelse, påvirker muligvis ikke dit system/din systemer. Sun giver ingen erklæringer, garantier eller garantier med hensyn til de oplysninger, der er indeholdt heri. ALLE GARANTIER, UDTRYKKELIGE ELLER STILTIENDE, HERUNDER UDEN BEGRÆNSNING GARANTIER FOR SALGBARHED, EGNETHED TIL ET BESTEMT FORMÅL ELLER IKKE-KRÆNKELSE AF RETTIGHEDER, FRASKRIVES HERMED. VED AT FÅ ADGANG TIL DETTE DOKUMENT ER DU KLAR OVER, AT SUN UNDER INGEN OMSTÆNDIGHEDER ER ANSVARLIG FOR DIREKTE, INDIREKTE, TILFÆLDIGE, STRAFFENDE ELLER FØLGESKADER, DER OPSTÅR SOM FØLGE AF DIN BRUG ELLER MANGLENDE BRUG AF DE HERI INDEHOLDTE OPLYSNINGER. Denne Sun Alert-meddelelse indeholder oplysninger, der tilhører Sun og er fortrolige. Den leveres til dig i henhold til bestemmelserne i din aftale om køb af tjenester fra Sun, eller, hvis du ikke har en sådan aftale, i henhold til Sun.com’s brugsbetingelser. Denne Sun Alert-meddelelse må kun anvendes til de formål, der er omhandlet i disse aftaler.