Sicherheitslücken in der LDAP-Implementierung der Java-Laufzeitumgebung (JRE) können einen Denial of Service (DoS) und die Ausführung von bösartigem Code ermöglichen

Bug Id
6717680, 6737315
Date of Resolved Release
24-Mar-2009
Sicherheitslücken in der LDAP-Implementierung der Java Runtime Environment (JRE) können einen Denial of Service (DoS) und die Ausführung von bösartigem Code ermöglichen:
1. Auswirkungen
CR 6717680:
Eine Sicherheitslücke in der Java-Laufzeitumgebung (JRE) bei der Initialisierung von LDAP-Verbindungen kann von einem Remote-Client ausgenutzt werden, um einen Denial-of-Service (DoS)-Zustand des LDAP-Dienstes zu verursachen.
CR 6737315:
Eine Sicherheitsschwachstelle in der LDAP-Client-Implementierung der Java-Laufzeitumgebung kann es ermöglichen, dass bösartige Daten von einem LDAP-Server unerwartet geladen und auf einem LDAP-Client ausgeführt werden.
2. Beitragende Faktoren
Diese Probleme können in den folgenden Java SE- und Java SE for Business-Versionen für Windows, Solaris und Linux auftreten:

• JDK und JRE 5.0 Update 17 und früher
• JDK und JRE 6 Update 12 und früher

und in der folgenden Java SE for Business-Version für Windows, Solaris und Linux:

• SDK und JRE 1.4.2_19 und früher

und in der folgenden Java SE-Version für Windows und Solaris:

• SDK und JRE 1.3.1_24 und früher

Um die auf einem System installierte Java-Version zu ermitteln, kann der folgende Befehl verwendet werden:

 % java -version
java version "1.5.0_17

Um die Standardversion der JRE zu ermitteln, die der Internet Explorer verwendet, besuchen Sie die folgende URL:

• http://java.com/en/download/installed.jsp?detect=jre&try=1

Um die Standardversion der JRE zu ermitteln, die die Mozilla- oder Firefox-Browser verwenden, besuchen Sie die URL „about:plugins“. Der Browser zeigt eine Seite mit dem Titel „Installierte Plug-ins“ an, auf der die Version des Java-Plug-ins aufgeführt ist:

 Java(TM) Platform SE 6 U11

In diesem Beispiel ist die Version der JRE, die der Browser verwendet, 6Update 11.
3.Symptome
Wenn das in CR 6717680 beschriebene Problem auftritt, reagiert der LDAP-Dienst möglicherweise nicht.
Es gibt keine zuverlässigen Symptome, die darauf hinweisen, dass das in CR 6737315 beschriebene Problem ausgenutzt wurde.
4. Abhilfe
Für diese Probleme gibt es keine Abhilfe. Bitte lesen Sie den Abschnitt „Lösung“ weiter unten.
5. Lösung
Diese Probleme werden in den folgenden Versionen behoben:

• JDK und JRE 6 Update 13 oder später
• JDK und JRE 5.0 Update 18 oder später

und in der folgenden Java SE for Business Version für Windows, Solaris und Linux:

• SDK und JRE 1.4.2_20 oder später

und in der folgenden Java SE Version für Windows und Solaris:

• SDK und JRE 1.3.1_25 oder höher

Java SE Releases sind verfügbar unter:
JDK und JRE 6 Update 13:

• http://java.sun.com/javase/downloads/index.jsp

JRE 6 Update 13:

• http://java.com/
• Über das Java Updatetool für Microsoft Windows Benutzer

JDK 6 Update 13 für Solaris ist in den folgenden Patches verfügbar:

• Java SE 6: Update 13 (wie in Patch 125136-14 geliefert)
• Java SE 6: Update 13 (wie in Patch 125137-14 (64bit) geliefert)
• Java SE 6_x86: Update 13 (wie in Patch 125138-14 geliefert)
• Java SE 6_x86: Update 13 (wie in Patch 125139-14 (64bit) geliefert)

JDK und JRE 5.0 Update 18:

• http://java.sun.com/javase/downloads/index_jdk5.jsp

JDK 5.0 Update 18 für Solaris ist in den folgenden Patches verfügbar:

• J2SE 5.0: Update 18 (wie in Patch 118666-19 bereitgestellt)
• J2SE 5.0: Update 18 (wie in Patch 118667-19 (64bit) bereitgestellt)
• J2SE 5.0_x86: Update 18 (wie in Patch 118668-19 geliefert)
• J2SE 5.0_x86: Update 18 (wie in Patch 118669-19 (64bit) geliefert)

Java SE for Business-Releases sind verfügbar unter:

• http://www.sun.com/software/javaseforbusiness/getit_download.jsp

Hinweis 1: Die Java SE-ReleasesSDK und JRE 1.4.2 haben den Sun End of Service Life (EOSL)-Prozess abgeschlossen. Sun empfiehlt den Benutzern ein Upgrade auf die neueste Java SE-Version. Kunden, die weiterhin kritische Fixes für SDK und JRE 1.4.2 erhalten möchten, wird empfohlen, auf Java SE for Business zu migrieren.
Hinweis 2: SDK und JRE 1.3.1 haben den Sun End of Service Life (EOSL)-Prozess abgeschlossen und werden nur noch von Kunden mit Supportverträgen für Solaris 8 und Vintage Support Offerings unterstützt (siehe http://java.sun.com/j2se/1.3/download.html).Sun empfiehlt Anwendern dringend ein Upgrade auf die neueste Java SE-Version.
Hinweis 3: Wenn Sie eine neue Version des Produkts aus einer anderen Quelle als einem Solaris-Patch installieren, wird empfohlen, die alten betroffenen Versionen von Ihrem System zu entfernen.

• http://www.java.com/en/download/help/5000010800.xml

Weitere Informationen zu Sun Sicherheitswarnungen finden Sie unter 1009886.1.
Diese Sun Warnmeldung wird Ihnen ohne Mängelgewähr bereitgestellt. Diese Sun Alert-Meldung kann Informationen enthalten, die von Dritten bereitgestellt wurden. Die in dieser Sun Alert Benachrichtigung beschriebenen Probleme betreffen möglicherweise nicht Ihr(e) System(e). Sun gibt keine Zusicherungen, Gewährleistungen oder Garantien in Bezug auf die hierin enthaltenen Informationen. JEGLICHE AUSDRÜCKLICHE ODER STILLSCHWEIGENDE GEWÄHRLEISTUNG, EINSCHLIESSLICH, ABER NICHT BESCHRÄNKT AUF DIE GEWÄHRLEISTUNG DER MARKTGÄNGIGKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK ODER DER NICHTVERLETZUNG VON RECHTEN DRITTER, WIRD HIERMIT ABGELEHNT. DURCH DEN ZUGRIFF AUF DIESES DOKUMENT ERKENNEN SIE AN, DASS SUN IN KEINEM FALL FÜR DIREKTE, INDIREKTE, ZUFÄLLIGE, STRAFENDE ODER FOLGESCHÄDEN HAFTET, DIE SICH AUS DER VERWENDUNG ODER NICHTVERWENDUNG DER HIERIN ENTHALTENEN INFORMATIONEN ERGEBEN. Diese Sun Alert-Benachrichtigung enthält geschützte und vertrauliche Informationen von Sun. Sie wird Ihnen gemäß den Bestimmungen Ihres Vertrags über den Erwerb von Dienstleistungen von Sun oder, falls Sie keinen solchen Vertrag haben, gemäß den Sun.com-Nutzungsbedingungen zur Verfügung gestellt. Diese Sun-Warnmeldung darf nur für die in diesen Vereinbarungen vorgesehenen Zwecke verwendet werden.