Beveiligingslekken in de LDAP-implementatie van de Java Runtime Environment (JRE) kunnen leiden tot een Denial of Service (DoS) en het uitvoeren van kwaadaardige code

Category
Security
Release Phase
Resolved

Bug Id
6717680, 6737315
Datum van opgeloste vrijgave
24-mrt-2009
Een beveiligingslek in de LDAP-implementatie van de Java Runtime Environment (JRE) kan leiden tot een Denial of Service (DoS) en de uitvoering van kwaadaardige code mogelijk maken:
1. Impact
CR 6717680:
Een beveiligingslek in de Java Runtime Environment (JRE) bij het initialiseren van LDAP-verbindingen kan door een externe client worden misbruikt om een Denial of Service (DoS)-conditie op de LDAP-service te veroorzaken.
CR 6737315:
Een beveiligingslek in de LDAP-clientimplementatie van de Java Runtime Environment kan ertoe leiden dat schadelijke gegevens van een LDAP-server onverwachts schadelijke code laden en uitvoeren op een LDAP-client.
2. Deze problemen kunnen zich voordoen in de volgende Java SE- en Java SE for Business-releases voor Windows, Solaris en Linux:

  • JDK en JRE 5.0 Update 17 en eerder
  • JDK en JRE 6 Update 12 en eerder

en in de volgende Java SE for Business-release voor Windows, Solaris en Linux:

  • SDK en JRE 1..4.2_19 en eerder
    • .4.2_19 en eerder

    en in de volgende Java SE-uitgave voor Windows en Solaris:

    • SDK en JRE 1.3.1_24 en eerder

    Om te bepalen welke versie van Java op een systeem is geïnstalleerd, kan het volgende commando worden gebruikt:

     % java -version
    java version "1.5.0_17

    Om de standaardversie van de JRE te bepalen die Internet Explorer gebruikt, raadpleegt u de volgende URL:

    • http://java.com/en/download/installed.jsp?detect=jre&try=1

    Om de standaardversie van de JRE te bepalen die Mozilla- of Firefox-browsers gebruiken, raadpleegt u de URL “about:plugins”. De browser geeft een pagina weer met de naam “Geïnstalleerde plug-ins” waarin de versie van de JavaPlug-in wordt vermeld:

     Java(TM) Platform SE 6 U11

    In dit voorbeeld is de versie van de JRE die de browser gebruikt 6Update 11.
    3.Symptomen
    Als het in CR 6717680 beschreven probleem zich voordoet, is het mogelijk dat de LDAP-service niet reageert.
    Er zijn geen betrouwbare symptomen die erop wijzen dat het in CR 6737315 beschreven probleem is misbruikt.
    4. Workaround
    Er zijn geen workarounds voor deze problemen. Zie de onderstaande paragraaf Oplossing.
    5. Oplossingen
    Deze problemen worden aangepakt in de volgende releases:

    • JDK en JRE 6 Update 13 of later
    • JDK en JRE 5..0 Update 18 of later

    en in de volgende Java SE for Business-uitgave voor Windows, Solaris,en Linux:

    • SDK en JRE 1.4.2_20 of later

    en in de volgende Java SE-uitgave voor Windows en Solaris:

    • SDK en JRE 1.3.1_25 of later

    Java SE-releases zijn beschikbaar op:
    JDK en JRE 6 Update 13:

    • http://java.sun.com/javase/downloads/index.jsp

    JRE 6 Update 13:

    • http://java.com/
    • Door middel van de Java Updatetool voor Microsoft Windows-gebruikers

    JDK 6 Update 13 voor Solaris is beschikbaar in de volgende patches:

    • Java SE 6: update 13 (zoals afgeleverd in patch 125136-14)
    • Java SE 6: update 13 (zoals afgeleverd in patch 125137-14 (64bit))
    • Java SE 6_x86: update 13 (zoals geleverd in patch 125138-14)
    • Java SE 6_x86: update 13 (zoals geleverd in patch 125139-14 (64bit))

    JDK en JRE 5.0 Update 18:

    • http://java.sun.com/javase/downloads/index_jdk5.jsp

    JDK 5.0 Update 18 voor Solaris is beschikbaar in de volgende patches:

    • J2SE 5.0: update 18 (zoals afgeleverd in patch 118666-19)
    • J2SE 5.0: update 18 (zoals afgeleverd in patch 118667-19 (64bit))
    • J2SE 5..0_x86: update 18 (zoals geleverd in patch 118668-19)
    • J2SE 5.0_x86: update 18 (zoals geleverd in patch 118669-19 (64bit))

    Java SE for Business-releases zijn beschikbaar op:

    • http://www.sun.com/software/javaseforbusiness/getit_download.jsp

    Opmerking 1: Java SE-releasesSDK en JRE 1.4.2 hebben het Sun End of Service Life (EOSL)-proces voltooid. Sun raadt gebruikers aan te upgraden naar de nieuwste Java SE-release. Klanten die kritische fixes op SDK en JRE 1.4.2 willen blijven ontvangen, wordt aangeraden te migreren naar Java SE for Business.
    Note 2: SDK en JRE 1.3.1heeft het Sun End of Service Life (EOSL)-proces voltooid en wordt alleen nog ondersteund voor klanten met ondersteuningscontracten voor Solaris 8 en Vintage Support Offerings (zie http://java.sun.com/j2se/1.3/download.html).Sun raadt gebruikers ten zeerste aan te upgraden naar de nieuwste Java SErelease.
    Aantekening 3: Wanneer u een nieuwe versie van het product installeert op basis van een andere bron dan een Solaris-patch, wordt aanbevolen de oude betrokken versies van uw systeem te verwijderen. Zie voor het verwijderen van oude betrokken versies op het Windows-platform:

    • http://www.java.com/en/download/help/5000010800.xml

    Voor meer informatie over beveiligingswaarschuwingen van Sun, zie 1009886.1.
    Deze Sun Alert-kennisgeving wordt u verstrekt op een “as is”-basis. Deze Sun Alert-kennisgeving kan informatie bevatten die door derden is verstrekt. De problemen die in deze Sun Alert melding worden beschreven, hebben mogelijk geen invloed op uw systeem of systemen. Sun geeft geen verklaringen, garanties of zekerheden met betrekking tot de hierin opgenomen informatie. ALLE GARANTIES, EXPLICIET OF IMPLICIET, INCLUSIEF MAAR NIET BEPERKT TOT GARANTIES VAN VERKOOPBAARHEID, GESCHIKTHEID VOOR EEN BEPAALD DOEL OF NIET-INBREUK, WORDEN HIERBIJ AFGEWEZEN. DOOR DIT DOCUMENT TE OPENEN, ERKENT U DAT SUN IN GEEN GEVAL AANSPRAKELIJK IS VOOR DIRECTE, INDIRECTE, INCIDENTELE SCHADE, SCHADEVERGOEDING OF GEVOLGSCHADE DIE VOORTKOMT UIT UW GEBRUIK OF HET NIET GEBRUIKEN VAN DE HIERIN OPGENOMEN INFORMATIE. Deze Sun Alert-kennisgeving bevat vertrouwelijke informatie die het eigendom is van Sun. Deze wordt u verstrekt krachtens de bepalingen van uw overeenkomst om diensten van Sun te kopen, of, als u niet een dergelijke overeenkomst hebt, de Sun.com Gebruiksvoorwaarden. Deze Sun Alert-notificatie mag alleen worden gebruikt voor de doeleinden die in deze overeenkomsten worden beoogd.