Le vulnerabilità di sicurezza nell’implementazione di Java Runtime Environment (JRE) LDAP possono consentire l’esecuzione di un Denial of Service (DoS) e di codice dannoso

Bug Id
6717680, 6737315
Date of Resolved Release
24-Mar-2009
Le vulnerabilità di sicurezza nell’implementazione di Java Runtime Environment (JRE) LDAP possono consentire un Denial of Service (DoS) e l’esecuzione di codice dannoso:
1. Impatto
CR 6717680:
Una vulnerabilità di sicurezza nel Java Runtime Environment (JRE) nell’inizializzazione delle connessioni LDAP può essere sfruttata da un client remoto per causare una condizione di Denial of Service (DoS) sul servizio LDAP.
CR 6737315:
A security vulnerability in Java Runtime Environment LDAP clientimplementation may allow malicious data from an LDAP server to causemalicious code to be unexpectedly loaded and executed on an LDAP client.
2. Questi problemi possono verificarsi nelle seguenti versioni di Java SE e Java SE for Business per Windows, Solaris e Linux:

• JDK e JRE 5.0 Update 17 e precedenti
• JDK e JRE 6 Update 12 e precedenti

e nelle seguenti versioni di Java SE for Business per Windows, Solaris e Linux:

• SDK e JRE 1..4.2_19 e precedenti

e nella seguente release di Java SE per Windows e Solaris:

• SDK e JRE 1.3.1_24 e precedenti

Per determinare la versione di Java installata su un sistema, si può usare il seguente comando:

 % java -version
java version "1.5.0_17

Per determinare la versione predefinita del JRE che usa Internet Explorer, vedere il seguente URL:

• http://java.com/en/download/installed.jsp?detect=jre&try=1

Per determinare la versione predefinita del JRE che usano i browser Mozilla o Firefox, visitare l’URL “about:plugins”. Il browser mostrerà un’apagina chiamata “Installed plug-ins” che elenca la versione del JavaPlug-in:

 Java(TM) Platform SE 6 U11

In questo esempio, la versione del JRE che il browser usa è 6Update 11.
3.Sintomi
Se si verifica il problema descritto in CR 6717680, il servizio LDAP potrebbe non rispondere.
Non ci sono sintomi affidabili che indichino che il problema descritto in CR 6737315 sia stato sfruttato.
4. Soluzione
Non ci sono soluzioni per questi problemi. Si prega di vedere la sezione “Risoluzione” qui sotto.
5. Risoluzione
Questi problemi sono stati risolti nelle seguenti versioni:

• JDK e JRE 6 Update 13 o successivi
• JDK e JRE 5.0 Update 18 o successivo

e nella seguente release Java SE for Business per Windows, Solaris e Linux:

• SDK e JRE 1.4.2_20 o successivo

e nella seguente release Java SE per Windows e Solaris:

• SDK e JRE 1.3.1_25 o successive

Le versioni Java SE sono disponibili presso:
JDK e JRE 6 Update 13:

• http://java.sun.com/javase/downloads/index.jsp

JRE 6 Update 13:

• http://java.com/
• Tramite il Java Updatetool per utenti Microsoft Windows

JDK 6 Update 13 per Solaris è disponibile nelle seguenti patch:

• Java SE 6: aggiornamento 13 (come consegnato nella patch 125136-14)
• Java SE 6: aggiornamento 13 (come consegnato nella patch 125137-14 (64bit))
• Java SE 6_x86: update 13 (come consegnato nella patch 125138-14)
• Java SE 6_x86: update 13 (come consegnato nella patch 125139-14 (64bit))

JDK e JRE 5.0 Update 18:

• http://java.sun.com/javase/downloads/index_jdk5.jsp

JDK 5.0 Update 18 per Solaris è disponibile nelle seguenti patch:

• J2SE 5.0: update 18 (as delivered in patch 118666-19)
• J2SE 5.0: update 18 (as delivered in patch 118667-19 (64bit))
• J2SE 5..0_x86: update 18 (as delivered in patch 118668-19)
• J2SE 5.0_x86: update 18 (as delivered in patch 118669-19 (64bit))

Java SE for Business releases sono disponibili presso:

• http://www.sun.com/software/javaseforbusiness/getit_download.jsp

Nota 1: Java SE releasesSDK e JRE 1.4.2 hanno completato il processo Sun End of Service Life (EOSL). Sun raccomanda agli utenti di aggiornare all’ultima release di Java SE. I clienti interessati a continuare a ricevere le correzioni critiche su SDK e JRE 1.4.2 sono incoraggiati a migrare a Java SE for Business.
Nota 2: SDK e JRE 1.3.1hanno completato il processo Sun End of Service Life (EOSL) e sono supportati solo dai clienti con contratti di supporto Solaris 8 e Vintage Support Offeringsupport (vedere http://java.sun.com/j2se/1.3/download.html).
Nota 3: Quando si installa una nuova versione del prodotto da una fonte diversa da una patch Solaris, si raccomanda di rimuovere dal sistema le vecchie versioni interessate.Per rimuovere le vecchie versioni interessate sulla piattaforma Windows, vedere:

• http://www.java.com/en/download/help/5000010800.xml

Per maggiori informazioni sugli avvisi di sicurezza Sun, vedere 1009886.1.
Questa notifica di Sun Alert viene fornita su una base “AS IS”. Questa notifica di Sun Alert può contenere informazioni fornite da terzi. I problemi descritti in questa notifica di Sun Alert potrebbero non avere un impatto sui vostri sistemi. Sun non rilascia alcuna dichiarazione, garanzia o assicurazione in merito alle informazioni contenute nel presente documento. TUTTE LE GARANZIE, ESPRESSE O IMPLICITE, INCLUSE, SENZA LIMITAZIONI, LE GARANZIE DI COMMERCIABILITÀ, IDONEITÀ A UNO SCOPO PARTICOLARE O VIOLAZIONE DEI DIRITTI ALTRUI, SONO QUI DECLINATE. ACCEDENDO AL PRESENTE DOCUMENTO, L’UTENTE RICONOSCE CHE SUN NON POTRÀ IN ALCUN CASO ESSERE RITENUTA RESPONSABILE DI EVENTUALI DANNI DIRETTI, INDIRETTI, INCIDENTALI, PUNITIVI O CONSEQUENZIALI DERIVANTI DALL’USO O DAL MANCATO USO DELLE INFORMAZIONI CONTENUTE NEL PRESENTE DOCUMENTO. La presente notifica di Sun Alert contiene informazioni proprietarie e riservate di Sun. Viene fornita all’utente in base alle disposizioni del suo contratto di acquisto di servizi da Sun o, se l’utente non ha un tale contratto, ai Termini di utilizzo di Sun.com. La presente notifica di allerta Sun può essere utilizzata solo per gli scopi previsti da tali accordi.