Luki w zabezpieczeniach implementacji LDAP w środowisku Java Runtime Environment (JRE) mogą umożliwiać odmowę usługi (DoS) i wykonanie złośliwego kodu

BY admin
|
Kategoria
Bezpieczeństwo
Faza wydania
Rozwiązany

Bug Id
6717680, 6737315
Data rozwiązania
24-Mar-2009
Błędy bezpieczeństwa w implementacji LDAP w środowisku Java Runtime Environment (JRE) mogą umożliwiać atak typu Denial of Service (DoS) i wykonanie złośliwego kodu:
1. Wpływ
CR 6717680:
Luka w zabezpieczeniach środowiska Java Runtime Environment (JRE) withinitializing LDAP connections może zostać wykorzystana przez zdalnego klienta do wywołania stanu Denial of Service (DoS) w usłudze LDAP.
CR 6737315:
Błąd w zabezpieczeniach implementacji klienta LDAP środowiska Java Runtime Environment może pozwolić złośliwym danym z serwera LDAP na spowodowanie nieoczekiwanego załadowania i wykonania złośliwego kodu na kliencie LDAP.
2. Czynniki sprzyjające
Błędy te mogą wystąpić w następujących wydaniach Java SE i Java SE for Business dla systemów Windows, Solaris i Linux:

  • JDK i JRE 5.0 Update 17 i wcześniejsze
  • JDK i JRE 6 Update 12 i wcześniejsze

oraz w następujących wydaniach Java SE for Business dla systemów Windows, Solaris i Linux:

  • SDK i JRE 1.4.2_19 i wcześniejsze

oraz w następującym wydaniu Java SE dla Windows i Solaris:

  • SDK i JRE 1.3.1_24 i wcześniejsze

Aby określić wersję Javy zainstalowaną w systemie, można użyć następującego polecenia:

 % java -version
java version "1.5.0_17

Aby określić domyślną wersję JRE używaną przez przeglądarkę Internet Explorer, odwiedź następujący adres URL:

  • http://java.com/en/download/installed.jsp?detect=jre&try=1

Aby określić domyślną wersję JRE używaną przez przeglądarki Mozilla lub Firefox, odwiedź adres URL „about:plugins”. Przeglądarka wyświetli stronę o nazwie „Zainstalowane wtyczki”, która zawiera wersję wtyczki Java:

 Java(TM) Platform SE 6 U11

W tym przykładzie, wersja JRE używana przez przeglądarkę to 6Update 11.
3.Objawy
Jeśli wystąpi błąd opisany w CR 6717680, usługa LDAP może nie reagować.
Nie ma żadnych wiarygodnych objawów, które wskazywałyby na wykorzystanie błędu opisanego w CR 6737315.
4. Obejście problemu
Nie ma żadnych rozwiązań dla tych problemów. Prosimy zapoznać się z sekcją Rozwiązania poniżej.
5. Rozwiązanie
Zagadnienia te zostały rozwiązane w następujących wydaniach:

  • JDK i JRE 6 Update 13 lub nowsze
  • JDK i JRE 5.0 Update 18 lub nowsze

oraz w następujących wydaniach Java SE for Business dla systemów Windows, Solaris i Linux:

  • SDK i JRE 1.4.2_20 lub nowsze

oraz w następujących wydaniach Java SE dla systemów Windows i Solaris:

  • SDK i JRE 1.3.1_25 lub nowsze

Wydania Javy SE są dostępne pod adresem:
JDK i JRE 6 Update 13:

  • http://java.sun.com/javase/downloads/index.jsp

JRE 6 Update 13:

  • http://java.com/
  • Poprzez narzędzie Java Updatetool dla użytkowników Microsoft Windows

JDK 6 Update 13 dla Solaris jest dostępny w następujących łatach:

  • Java SE 6: aktualizacja 13 (jak dostarczono w łatce 125136-14)
  • Java SE 6: aktualizacja 13 (jak dostarczono w łatce 125137-14 (64bit))
  • Java SE 6_x86: update 13 (as delivered in patch 125138-14)
  • Java SE 6_x86: update 13 (as delivered in patch 125139-14 (64bit))

JDK and JRE 5.0 Update 18:

  • http://java.sun.com/javase/downloads/index_jdk5.jsp

JDK 5.0 Update 18 dla Solarisa jest dostępny w następujących łatach:

  • J2SE 5.0: update 18 (as delivered in patch 118666-19)
  • J2SE 5.0: update 18 (as delivered in patch 118667-19 (64bit))
  • J2SE 5.0_x86: update 18 (as delivered in patch 118668-19)
  • J2SE 5.0_x86: update 18 (as delivered in patch 118669-19 (64bit))

Wydania Java SE for Business są dostępne pod adresem:

  • http://www.sun.com/software/javaseforbusiness/getit_download.jsp

Uwaga 1: Java SE releasesSDK i JRE 1.4.2 zakończyły proces End of Service Life (EOSL) firmy Sun. Firma Sun zaleca użytkownikom aktualizację do najnowszego wydania Java SE. Klienci zainteresowani dalszym otrzymywaniem poprawek krytycznych do SDK i JRE 1.4.2 są zachęcani do migracji do Java SE for Business.
Uwaga 2: SDK i JRE 1.3.1 zakończyły proces Sun End of Service Life (EOSL) i są obsługiwane tylko dla klientów z umowami wsparcia Solaris 8 i Vintage Support Offeringsupport (patrz http://java.sun.com/j2se/1.3/download.html).Sun zdecydowanie zaleca, aby użytkownicy uaktualnili do najnowszego wydania Java SE.
Uwaga 3: W przypadku instalowania nowej wersji produktu ze źródła innego niż poprawka Solaris, zaleca się usunięcie z systemu starych wersji dotkniętych problemem.Aby usunąć stare wersje dotknięte problemem na platformie Windows, patrz:

  • http://www.java.com/en/download/help/5000010800.xml

Więcej informacji na temat alertów bezpieczeństwa firmy Sun, patrz 1009886.1.
Niniejsze powiadomienie o alercie firmy Sun jest dostarczane użytkownikowi na zasadzie „AS IS”. Niniejsze powiadomienie Sun Alert może zawierać informacje dostarczone przez osoby trzecie. Problemy opisane w tym powiadomieniu Sun Alert mogą nie mieć wpływu na system(y) użytkownika. Firma Sun nie składa żadnych oświadczeń, zapewnień ani gwarancji w odniesieniu do informacji zawartych w tym dokumencie. WSZELKIE GWARANCJE, WYRAŹNE LUB DOROZUMIANE, W TYM BEZ OGRANICZEŃ GWARANCJE PRZYDATNOŚCI HANDLOWEJ, PRZYDATNOŚCI DO OKREŚLONEGO CELU LUB NIENARUSZALNOŚCI, ZOSTAJĄ NINIEJSZYM WYŁĄCZONE. UZYSKUJĄC DOSTĘP DO TEGO DOKUMENTU, UŻYTKOWNIK PRZYJMUJE DO WIADOMOŚCI, ŻE FIRMA SUN W ŻADNYM WYPADKU NIE PONOSI ODPOWIEDZIALNOŚCI ZA JAKIEKOLWIEK SZKODY BEZPOŚREDNIE, POŚREDNIE, PRZYPADKOWE, KARNE LUB WYNIKOWE, KTÓRE WYNIKAJĄ Z WYKORZYSTANIA LUB NIEMOŻNOŚCI WYKORZYSTANIA INFORMACJI ZAWARTYCH W NINIEJSZYM DOKUMENCIE. Niniejsze powiadomienieSun Alert zawiera zastrzeżone i poufne informacje firmy Sun. Jest ono dostarczane Państwu zgodnie z postanowieniami Państwa umowy o zakupie usług od firmy Sun lub, jeśli nie posiadają Państwo takiej umowy, zgodnie z Warunkami użytkowania Sun.com. To powiadomienie Sun Alert może być wykorzystywane wyłącznie do celów przewidzianych w tych umowach.