Java Runtime Environment (JRE) LDAP-toteutuksen tietoturva-aukot voivat mahdollistaa palveluneston (DoS) ja haitallisen koodin suorittamisen

Category
Security
Release Phase
Resolved

Bug Id
6717680, 6737315
Resolved Release Date
24-Mar-2009
Turvallisuushaavoittuvuudet Java Runtime Environment (JRE) LDAP-toteutuksessa voivat mahdollistaa palveluneston (Denial of Service, DoS) ja haitallisen koodin suorittamisen:
1. Vaikutus
CR 6717680:
Turvahaavoittuvuus Java Runtime Environment (JRE) -ympäristössä (JRE) LDAP-yhteyksien alustamisessa voi olla etäasiakkaan hyväksikäyttämä ja aiheuttaa palvelunestotilanteen (DoS) LDAP-palvelussa.
CR 6737315:
Turvahaavoittuvuus Java Runtime Environmentin LDAP-asiakastoteutuksessa voi mahdollistaa LDAP-palvelimen haitallisten tietojen aiheuttaman haitallisten koodien odottamattoman lataamisen ja suorittamisen LDAP-asiakkaassa.
2. Myötävaikuttavat tekijät
Nämä ongelmat voivat esiintyä seuraavissa Java SE- ja Java SE for Business -julkaisuissa Windowsille,Solarisille ja Linuxille:

  • JDK ja JRE 5.0 Update 17 ja aikaisemmat
  • JDK ja JRE 6 Update 12 ja aikaisemmat

sekä seuraavissa Java SE for Business -julkaisuissa Windowsille, Solarisille ja Linuxille:

  • SDK ja JRE 1.4.2_19 ja aikaisempi

ja seuraavassa Java SE -julkaisussa Windowsille ja Solarikselle:

  • SDK ja JRE 1.3.1_24 ja aikaisemmat

Javaan asennetun Java-version määrittämiseksi voidaan käyttää seuraavaa komentoa:

 % java -version
java version "1.5.0_17

Internet Explorerin käyttämän JRE:n oletusversion määrittämiseksi käy seuraavassa URL-osoitteessa:

  • http://java.com/en/download/installed.jsp?detect=jre&try=1

Mozilla- tai Firefoxselaimien käyttämän JRE:n oletusversion määrittämiseksi käy URL-osoitteessa ”about:plugins”. Selain näyttää sivun nimeltä ”Installed plug-ins”, jossa luetellaan JavaPlug-inin versio:

 Java(TM) Platform SE 6 U11

Tässä esimerkissä selaimen käyttämä JRE-versio on 6Update 11.
3.Oireet
Jos CR 6717680:ssä kuvattu ongelma ilmenee, LDAP-palvelu saattaa olla reagoimaton.
Ei ole luotettavia oireita, jotka osoittaisivat, että CR 6737315:ssä kuvattua ongelmaa on hyödynnetty.
4. Korjaustoimenpiteet
Näihin ongelmiin ei ole olemassa korjaustoimenpiteitä. Katso ratkaisua koskeva osio jäljempänä.
5. Ratkaisu
Nämä ongelmat on käsitelty seuraavissa julkaisuissa:

  • JDK ja JRE 6 Update 13 tai uudempi
  • JDK ja JRE 5.0 Update 18 tai uudempi

ja seuraavissa Java SE for Business -julkaisuissa Windowsille, Solarisille ja Linuxille:

  • SDK ja JRE 1.4.2_20 tai uudempi

ja seuraavissa Java SE -julkaisuissa Windowsille ja Solarisille:

  • SDK ja JRE 1.3.1_25 tai uudempi

Java SE -julkaisut ovat saatavilla osoitteessa:
JDK ja JRE 6 Update 13:

  • http://java.sun.com/javase/downloads/index.jsp

JRE 6 Update 13:

  • http://java.com/
  • Microsoft Windows -käyttäjille tarkoitetun Java-päivitystyökalun kautta

JDK 6 Update 13 Solariksen käyttöön on saatavana seuraavissa korjauksissa:

  • Java SE 6: päivitys 13 (sellaisena kuin se toimitetaan patch 125136-14:ssä)
  • Java SE 6: päivitys 13 (sellaisena kuin se toimitetaan patch 125137-14:ssä (64bit))
  • Java SE 6_x86:
  • Java SE 6_x86: update 13 (as delivered in patch 125139-14 (64bit))

JDK ja JRE 5.0 Päivitys 18:

  • http://java.sun.com/javase/downloads/index_jdk5.jsp

JDK 5.0 Päivitys 18 Solaris-käyttöjärjestelmään on saatavana seuraavissa korjaustiedostoissa:

  • J2SE 5.0: päivitys 18 (sellaisena kuin se toimitetaan korjaustiedostossa 118666-19)
  • J2SE 5.0: päivitys 18 (sellaisena kuin se toimitetaan korjaustiedostossa 118667-19 (64bittinen))
  • J2SE 5.0_x86: päivitys 18 (toimitettu korjaustiedostona 118668-19)
  • J2SE 5.0_x86: päivitys 18 (toimitettu korjaustiedostona 118669-19 (64bit))

Java SE for Business -julkaisut ovat saatavilla osoitteessa:

  • http://www.sun.com/software/javaseforbusiness/getit_download.jsp

Huomautus 1: Java SE -julkaisutSDK ja JRE 1.4.2 ovat läpäisseet Sunin käyttöiän päättymisen (End of Service Life -prosessin, jäljempänä ’EOSL’). Sun suosittelee, että käyttäjät päivittävät uusimpaan Java SE-julkaisuun. Asiakkaita, jotka haluavat edelleen saada SDK:n ja JRE 1.4.2:n kriittiset korjaukset, kehotetaan siirtymään Java SE for Business -versioon.
Huomautus 2: SDK:n ja JRE:n 1.3.1:n kohdalla on päättynyt Sunin EOSL-prosessi (End of Service Life), ja niitä tuetaan vain asiakkaille, joilla on Solaris 8- ja Vintage-tukitarjousten tukisopimukset (ks. http://java.sun.com/j2se/1.3/download.html).Sun suosittelee käyttäjille vahvasti, että he päivittävät uusimpaan Java SE-julkaisuun.
Huomautus 3: Kun tuotteen uusi versio asennetaan muusta lähteestä kuin Solaris-korjausversiosta, suositellaan, että vanhat vaikuttavat versiot poistetaan järjestelmästä.Vanhojen vaikuttavien versioiden poistamiseksi Windows-alustalla katso:

  • http://www.java.com/en/download/help/5000010800.xml

Lisätietoa Sunin tietoturvahälytyksistä on osoitteessa 1009886.1.
Tämä Sunin hälytysilmoitus toimitetaan sinulle ”sellaisena kuin se on”. Tämä Sun Alert -ilmoitus saattaa sisältää kolmansien osapuolten toimittamia tietoja. Tässä Sun Alert -ilmoituksessa kuvatut ongelmat eivät välttämättä vaikuta sinun järjestelmääsi. Sun ei anna mitään vakuutuksia, takuita tai takuita tämän ilmoituksen sisältämistä tiedoista. KAIKKI NIMENOMAISET TAI EPÄSUORAT TAKUUT, MUKAAN LUKIEN RAJOITUKSETTA TAKUUT MYYNTIKELPOISUUDESTA, SOVELTUVUUDESTA TIETTYYN TARKOITUKSEEN TAI LOUKKAAMATTOMUUDESTA, SULJETAAN POIS. TUTUSTUMALLA TÄHÄN ASIAKIRJAAN HYVÄKSYT, ETTÄ SUN EI OLE MISSÄÄN TAPAUKSESSA VASTUUSSA MISTÄÄN SUORISTA, EPÄSUORISTA, SATUNNAISISTA, RANKAISEVISTA TAI VÄLILLISISTÄ VAHINGOISTA, JOTKA JOHTUVAT TÄMÄN ASIAKIRJAN SISÄLTÄMIEN TIETOJEN KÄYTÖSTÄ TAI KÄYTTÄMÄTTÄ JÄTTÄMISESTÄ. Tämä Sun Alert -ilmoitus sisältää Sunin omistamia ja luottamuksellisia tietoja. Se toimitetaan sinulle Sunin palvelujen ostamista koskevan sopimuksesi määräysten mukaisesti tai, jos sinulla ei ole tällaista sopimusta, Sun.comin käyttöehtojen mukaisesti. Tätä Sunin hälytysilmoitusta saa käyttää vain näiden sopimusten mukaisiin tarkoituksiin.