Vulnerabilidades de Segurança no Ambiente Java Runtime (JRE) Implementação do LDAP pode permitir que uma Negação de Serviço (DoS) e Código Malicioso sejam Executados

Categoria
Segurança
Fase de Soltura
Resolvido

Identificação de Bug
6717680, 6737315
Data da Versão Resolvida
24-Mar-2009
Vulnerabilidades de Segurança no Java Runtime Environment (JRE) A implementação LDAP pode permitir que uma Negação de Serviço (DoS) e código malicioso sejam executados:
1. Impacto
CR 6717680:
Uma vulnerabilidade de segurança no Java Runtime Environment (JRE), que inicializa as conexões LDAP, pode ser explorada por um cliente remoto para que uma condição de Negação de Serviço (DoS) no serviço LDAP.
CR 6737315:
Uma vulnerabilidade de segurança no ambiente Java Runtime Environment A configuração de cliente LDAP pode permitir que dados maliciosos de um servidor LDAP sejam carregados e executados inesperadamente em um cliente LDAP.
2. Fatores Contribuintes
Estas questões podem ocorrer nos seguintes lançamentos Java SE e Java SE for Business para Windows,Solaris e Linux:

  • JDK e JRE 5.0 Atualização 17 e anteriores
  • JDK e JRE 6 Atualização 12 e anteriores

e no seguinte lançamento Java SE for Business para Windows, Solaris e Linux:

  • SDK e JRE 1.4.2_19 e anteriores

e no seguinte lançamento Java SE para Windows e Solaris:

  • SDK e JRE 1.3.1_24 e anteriores

Para determinar a versão do Java instalado em um sistema, o seguinte comando pode ser usado:

 % java -version
java version "1.5.0_17

Para determinar a versão padrão do JRE que o Internet Explorer usa, veja a seguinte URL:

  • http://java.com/en/download/installed.jsp?detect=jre&try=1

Para determinar a versão padrão do JRE que o Mozilla ou o Firefoxbrowsers usam, visite a URL “about:plugins”. O navegador mostrará o apage chamado “Installed plug-ins” que lista a versão do JavaPlug-in:

 Java(TM) Platform SE 6 U11

Neste exemplo, a versão do JRE que o navegador usa é 6Update 11.
3.Sintomas
Se o problema descrito no CR 6717680 ocorrer, o serviço LDAP pode não responder.
Não há sintomas confiáveis que indiquem que o problema descrito no CR 6737315 tenha sido explorado.
4. Solução
Não há soluções para estes problemas. Veja a seçãoResolução abaixo.
5. Resolução
Estas questões são abordadas nas seguintes versões:

  • JDK e JRE 6 Atualização 13 ou posterior
  • JDK e JRE 5.0 Atualização 18 ou posterior

e no seguinte lançamento Java SE para Empresas para Windows, Solaris e Linux:

  • SDK e JRE 1.4.2_20 ou posterior

e no seguinte lançamento Java SE para Windows e Solaris:

  • SDK e JRE 1.3.1_25 ou posterior

Java SE estão disponíveis em:
JDK e JRE 6 Atualização 13:

  • http://java.sun.com/javase/downloads/index.jsp

JRE 6 Atualização 13:

  • http://java.com/
  • Até através do Java Updatetool para usuários do Microsoft Windows

JDK 6 Atualização 13 para Solaris está disponível nos seguintes patches:

  • Java SE 6: atualização 13 (como entregue no patch 125136-14)
  • Java SE 6: atualização 13 (como entregue no patch 125137-14 (64bit))
  • Java SE 6_x86: update 13 (como entregue no patch 125138-14)
  • Java SE 6_x86: update 13 (como entregue no patch 125139-14 (64bit))

JDK e JRE 5.0 Atualização 18:

  • http://java.sun.com/javase/downloads/index_jdk5.jsp

JDK 5.0 A atualização 18 para Solaris está disponível nos seguintes patches:

  • J2SE 5.0: atualização 18 (como entregue no patch 118666-19)
  • J2SE 5.0: atualização 18 (como entregue no patch 118667-19 (64bit))
  • J2SE 5.0_x86: atualização 18 (conforme entregue no patch 118668-19)
  • J2SE 5.0_x86: atualização 18 (conforme entregue no patch 118669-19 (64bit))

Java SE for Business releases estão disponíveis em:

  • http://www.sun.com/software/javaseforbusiness/getit_download.jsp

Nota 1: Java SE releasesSDK e JRE 1.4.2 completaram o processo Sun End of Service Life (EOSL). A Sun recomenda que os usuários atualizem para o mais recente Java SErelease. Clientes interessados em continuar a receber correções críticas no SDK e JRE 1.4.2 são encorajados a migrar para Java SE for Business.
Nota 2: SDK e JRE 1.3.1 completaram o processo de Fim de Vida Útil da Sun (EOSL) e só é suportado por clientes com contratos de suporte ao Solaris 8 e Vintage (veja http://java.sun.com/j2se/1.3/download.html).A Sun recomenda fortemente que os usuários atualizem para o mais recente Java SErelease.
Nota 3: Ao instalar uma nova versão do produto a partir de uma fonte diferente de um patch Solaris, é recomendado que as versões antigas afetadas sejam removidas do seu sistema. Para remover versões antigas afetadas na plataforma Windows, por favor veja:

  • http://www.java.com/en/download/help/5000010800.xml

Para mais informações sobre Alertas de Segurança Sun, veja 1009886.1.
Esta notificação de Alerta Sun está sendo fornecida a você “COMO ESTÁ”. Esta notificação de Alerta Solar pode conter informações fornecidas por terceiros. Os problemas descritos nesta notificação de Alerta Solar podem não ter impacto no(s) seu(s) sistema(s). A Sun não faz representações, garantias ou garantias quanto às informações aqui contidas. QUAISQUER E TODAS AS GARANTIAS, EXPRESSAS OU IMPLÍCITAS, INCLUINDO SEM LIMITAÇÃO GARANTIAS DE COMERCIABILIDADE, ADEQUAÇÃO A UM PROPÓSITO PARTICULAR, VIOLAÇÃO DE ORNON, SÃO AQUI RENUNCIADAS. AO ACESSAR ESTE DOCUMENTO, VOCÊ SABE QUE A SUN NÃO SERÁ RESPONSÁVEL EM NENHUM CASO POR QUAISQUER DANOS DIRETOS, INDIRETOS, INCIDENTAIS, PUNITIVOS OU CONSEQÜENTES QUE SURJAM DO SEU USO OU DA FALHA NO USO DAS INFORMAÇÕES AQUI CONTIDAS. Esta notificação de Alerta Sun contém informações confidenciais e de propriedade da Sun. Ela está sendo fornecida a você de acordo com as disposições do seu acordo de compra de serviços da Sun, ou, se você não tiver esse acordo, os Termos de Uso da Sun.com. Esta notificação da Sun só pode ser usada para os fins contemplados por estes acordos.