Biztonsági rés a Java Runtime Environment (JRE) LDAP implementációjában, amely lehetővé teheti a szolgáltatás megtagadását (DoS) és rosszindulatú kód végrehajtását

Bug Id
6717680, 6737315
Megoldott kiadás dátuma
24-Mar-2009
A Java Runtime Environment (JRE) LDAP implementációjában található biztonsági sebezhetőségek DoS (Denial of Service) és rosszindulatú kód futtatását teszik lehetővé:
1. Hatás
CR 6717680:
A Java Runtime Environment (JRE) biztonsági sebezhetőségét az LDAP-kapcsolatok inicializálásában egy távoli ügyfél kihasználhatja az LDAP szolgáltatás Denial of Service (DoS) állapotának előidézésére.
CR 6737315:
A Java Runtime Environment LDAP kliensimplementációjának biztonsági sebezhetősége lehetővé teheti, hogy az LDAP-kiszolgálóról származó rosszindulatú adatok váratlanul betöltsenek és futtassanak rosszindulatú kódot az LDAP-kliensen.
2. Hozzájáruló tényezők
Ezek a problémák a következő Java SE és Java SE for Business kiadásokban fordulhatnak elő Windows, Solaris és Linux számára:

• JDK és JRE 5.0 Update 17 és korábbi
• JDK és JRE 6 Update 12 és korábbi

és a következő Java SE for Business kiadásokban Windows, Solaris és Linux számára:

• SDK és JRE 1.4.2_19 és korábbi

és a következő Java SE kiadásban Windowsra és Solarisra:

• SDK és JRE 1.3.1_24 és korábbi

A rendszerre telepített Java verziójának meghatározásához a következő parancs használható:

 % java -version
java version "1.5.0_17

Az Internet Explorer által használt JRE alapértelmezett verziójának meghatározásához keresse fel a következő URL-t:

• http://java.com/en/download/installed.jsp?detect=jre&try=1

A Mozilla vagy Firefoxböngészők által használt JRE alapértelmezett verziójának meghatározásához látogasson el az “about:plugins” URL-re. A böngésző megjeleníti a “Telepített bővítmények” nevű oldalt, amely felsorolja a JavaPlug-in verzióját:

 Java(TM) Platform SE 6 U11

Ebben a példában a böngésző által használt JRE verziója a 6Update 11.
3.Tünetek
Ha a CR 6717680-ban leírt probléma előfordul, az LDAP szolgáltatás nem reagálhat.
Nincsenek megbízható tünetek, amelyek a CR 6737315-ben leírt probléma kihasználására utalnának.
4. Megoldás
Nincsenek megoldások ezekre a problémákra. Kérjük, olvassa el az alábbi Megoldás részt.
5. Megoldás
Ezekkel a problémákkal a következő kiadások foglalkoznak:

• JDK és JRE 6 Update 13 vagy újabb
• JDK és JRE 5.0 Update 18 vagy újabb

és a következő Java SE for Business kiadás Windows, Solaris és Linux számára:

• SDK és JRE 1.4.2_20 vagy újabb

és a következő Java SE kiadás Windows és Solaris számára:

• SDK és JRE 1.3.1_25 vagy újabb

A Java SE kiadások elérhetőek:
JDK és JRE 6 Update 13:

• http://java.sun.com/javase/downloads/index.jsp

JRE 6 Update 13:

• http://java.com/
• A Microsoft Windows felhasználóknak szánt Java Updatetoolon keresztül

A JDK 6 Update 13 a Solarishoz a következő javításokban érhető el:

• Java SE 6: 13. frissítés (a 125136-14 foltban szállított változatban)
• Java SE 6: 13. frissítés (a 125137-14 foltban szállított változatban (64bit))
• Java SE 6_x86: JAVA SE 6_x86: 13. frissítés (a 125138-14-es javításban foglaltak szerint)
• Java SE 6_x86: 13. frissítés (a 125139-14-es javításban foglaltak szerint (64bit))

JDK és JRE 5.0 Update 18:

• http://java.sun.com/javase/downloads/index_jdk5.jsp

JDK 5.0 Update 18 a Solaris rendszerhez a következő foltokban érhető el:

• J2SE 5.0: update 18 (a 118666-19-es foltban szállítva)
• J2SE 5.0: update 18 (a 118667-19-es foltban szállítva (64bit))
• J2SE 5.0_x86: 18. frissítés (a 118668-19-es javítással szállítva)
• J2SE 5.0_x86: 18. frissítés (a 118669-19-es javítással szállítva (64bit))

A Java SE for Business kiadások a következő címen érhetők el:

• http://www.sun.com/software/javaseforbusiness/getit_download.jsp

1. megjegyzés: A Java SE kiadásaiSDK és JRE 1.4.2 befejezték a Sun EOSL (End of Service Life) folyamatát. A Sun azt javasolja, hogy a felhasználók frissítsenek a legújabb Java SE-kiadásra. Az SDK és a JRE 1.4.2 kritikus javításait továbbra is megkapni kívánó ügyfeleknek ajánlott áttérni a Java SE for Businessre.
2. megjegyzés: Az SDK és a JRE 1.3.1 befejezte a Sun End of Service Life (EOSL) folyamatát, és csak a Solaris 8 és Vintage Support Offerings támogatási szerződéssel rendelkező ügyfelek számára támogatott (lásd http://java.sun.com/j2se/1.3/download.html).A Sun erősen ajánlja, hogy a felhasználók frissítsenek a legújabb Java SE-kiadásra.
3. megjegyzés: Ha a termék új verzióját nem Solaris javításból származó forrásból telepíti, ajánlott a régi érintett verziók eltávolítása a rendszerből.A Windows platformon a régi érintett verziók eltávolításához lásd:

• http://www.java.com/en/download/help/5000010800.xml

A Sun biztonsági figyelmeztetésekkel kapcsolatos további információkért lásd: 1009886.1.
Ez a Sun figyelmeztető értesítés “AS IS” alapon kerül az Ön rendelkezésére. Ez a Sun Alert értesítés harmadik felek által szolgáltatott információkat tartalmazhat. Az ebben a Sun Alert értesítésben leírt problémák nem biztos, hogy hatással vannak az Ön rendszerére (rendszereire). A Sun nem vállal felelősséget, szavatosságot vagy garanciát az itt szereplő információkért. EZENNEL KIZÁRUNK MINDEN KIFEJEZETT VAGY HALLGATÓLAGOS GARANCIÁT, BELEÉRTVE, DE NEM KIZÁRÓLAGOSAN AZ ELADHATÓSÁGRA, A MEGHATÁROZOTT CÉLRA VALÓ ALKALMASSÁGRA VAGY A JOGSÉRTÉSMENTESSÉGRE VONATKOZÓ GARANCIÁKAT. A JELEN DOKUMENTUMHOZ VALÓ HOZZÁFÉRÉSSEL ÖN TUDOMÁSUL VESZI, HOGY A SUN SEMMILYEN KÖRÜLMÉNYEK KÖZÖTT NEM VÁLLAL FELELŐSSÉGET SEMMILYEN KÖZVETLEN, KÖZVETETT, VÉLETLEN, VÉLETLENSZERŰ, BÜNTETŐ JELLEGŰ VAGY KÖVETKEZMÉNYES KÁRÉRT, AMELY AZ ITT TALÁLHATÓ INFORMÁCIÓK HASZNÁLATÁBÓL VAGY HASZNÁLATÁNAK ELMULASZTÁSÁBÓL ERED. Ez a Sun Alert értesítés a Sun tulajdonát képező és bizalmas információkat tartalmaz. Ezt a Sun-tól történő szolgáltatásvásárlásra vonatkozó megállapodásának rendelkezései, vagy – ha Ön nem rendelkezik ilyen megállapodással – a Sun.com használati feltételei alapján bocsátjuk az Ön rendelkezésére. Ez a Sun Alert-értesítés kizárólag az említett megállapodásokban meghatározott célokra használható fel.