Vulnerabilitățile de securitate din implementarea LDAP din Java Runtime Environment (JRE) pot permite o negare de serviciu (DoS) și executarea de cod malițios

Categorie
Securitate
Fază de lansare
Rezolvată

Bug Id
6717680, 6737315
Data versiunii rezolvate
24-mar-2009
Vulnerabilitățile de securitate din implementarea LDAP din Java Runtime Environment (JRE) pot permite un Denial of Service (DoS) și executarea de cod malițios:
1. Impact
CR 6717680:
O vulnerabilitate de securitate în Java Runtime Environment (JRE) în cadrulinițializării conexiunilor LDAP poate fi exploatată de un client de la distanță pentru a provoca o condiție de negare a serviciului (DoS) asupra serviciului LDAP.
CR 6737315:
O vulnerabilitate de securitate în Java Runtime Environment LDAP clientimplementarea Java Runtime Environment poate permite ca datele malițioase de pe un server LDAP să provoace încărcarea și executarea neașteptată a unui cod malițios pe un client LDAP.
2. Factori care contribuie
Aceste probleme pot apărea în următoarele versiuni Java SE și Java SE for Business pentru Windows, Solaris și Linux:

  • JDK și JRE 5.0 Update 17 și versiunile anterioare
  • JDK și JRE 6 Update 12 și versiunile anterioare

și în următoarele versiuni Java SE for Business pentru Windows, Solaris și Linux:

  • SDK și JRE 1.4.2_19 și versiunile anterioare

și în următoarea versiune Java SE pentru Windows și Solaris:

  • SDK și JRE 1.3.1_24 și anterioare

Pentru a determina versiunea de Java instalată pe un sistem, se poate utiliza următoareacomandă:

 % java -version
java version "1.5.0_17

Pentru a determina versiunea implicită a JRE pe care o utilizează Internet Explorer, consultați următoarea adresă URL:

  • http://java.com/en/download/installed.jsp?detect=jre&try=1

Pentru a determina versiunea implicită a JRE pe care o utilizează browserele Mozilla sau Firefox, accesați adresa URL „about:plugins”. Browserul va afișa o pagină numită „Installed plug-ins” care enumeră versiunea JavaPlug-in-ului:

 Java(TM) Platform SE 6 U11

În acest exemplu, versiunea JRE pe care o folosește browserul este 6Update 11.
3.Simptome
Dacă apare problema descrisă în CR 6717680, este posibil ca serviciul LDAP să nu răspundă.
Nu există simptome fiabile care să indice că problema descrisă în CR 6737315 a fost exploatată.
4. Soluții de rezolvare
Nu există soluții de rezolvare pentru aceste probleme. Vă rugăm să consultați secțiuneaRezolvare de mai jos.
5. Rezolvare
Aceste probleme sunt abordate în următoarele versiuni:

  • JDK și JRE 6 Update 13 sau mai târziu
  • JDK și JRE 5.0 Update 18 sau o versiune ulterioară

și în următoarea versiune Java SE for Business pentru Windows, Solaris,și Linux:

  • SDK și JRE 1.4.2_20 sau o versiune ulterioară

și în următoarea versiune Java SE pentru Windows și Solaris:

  • SDK și JRE 1.3.1_25 sau versiuni ulterioare

Liberările Java SE sunt disponibile la:
JDK și JRE 6 Update 13:

  • http://java.sun.com/javase/downloads/index.jsp

JRE 6 Update 13:

  • http://java.com/
  • Prin intermediul Java Updatetool pentru utilizatorii Microsoft Windows

JDK 6 Update 13 pentru Solaris este disponibil în următoarele patch-uri:

  • Java SE 6: update 13 (așa cum este livrat în patch-ul 125136-14)
  • Java SE 6: update 13 (așa cum este livrat în patch-ul 125137-14 (64bit))
  • Java SE 6_x86: update 13 (așa cum este livrat în patch-ul 125138-14)
  • Java SE 6_x86: update 13 (așa cum este livrat în patch-ul 125139-14 (64bit))

JDK și JRE 5.0 Update 18:

  • http://java.sun.com/javase/downloads/index_jdk5.jsp

JDK 5.0 Update 18 pentru Solaris este disponibil în următoarele patch-uri:

  • J2SE 5.0: update 18 (așa cum este livrat în patch-ul 118666-19)
  • J2SE 5.0: update 18 (așa cum este livrat în patch-ul 118667-19 (64bit))
  • J2SE 5.0: update 18 (așa cum este livrat în patch-ul 118667-19 (64bit))
  • J2SE 5.0: update 18 (așa cum este livrat în patch-ul 118667-19 (64bit))
  • J2SE 5.0_x86: update 18 (așa cum este livrat în patch-ul 118668-19)
  • J2SE 5.0_x86: update 18 (așa cum este livrat în patch-ul 118669-19 (64bit))

Lansările Java SE for Business sunt disponibile la:

  • http://www.sun.com/software/javaseforbusiness/getit_download.jsp

Nota 1: Versiunile Java SESDK și JRE 1.4.2 au finalizat procesul Sun End of Service Life (EOSL). Sun recomandă utilizatorilor să treacă la cea mai recentă versiune Java SE. Clienții interesați să primească în continuare remedieri critice pe SDK și JRE 1.4.2 sunt încurajați să migreze la Java SE for Business.
Nota 2: SDK și JRE 1.3.1a finalizat procesul Sun End of Service Life (EOSL) și este suportată numai pentru clienții cu contracte de asistență pentru Solaris 8 și Vintage Support Offeringsupport (vezi http://java.sun.com/j2se/1.3/download.html).Sun recomandă cu tărie utilizatorilor să treacă la cea mai recentă versiune Java SE.
Nota 3: Atunci când instalați o nouă versiune a produsului dintr-o altă sursă decât un patch Solaris, se recomandă ca vechile versiuni afectate să fie eliminate din sistem.Pentru a elimina vechile versiuni afectate pe platforma Windows, vă rugăm să consultați:

  • http://www.java.com/en/download/help/5000010800.xml

Pentru mai multe informații despre alertele de securitate Sun, consultați 1009886.1.
Această notificare de alertă Sun vă este furnizată „AS IS”. Această notificare Sun Alert poate conține informații furnizate de terțe părți. Este posibil ca problemele descrise în această notificare Sun Alert primar să nu aibă impact asupra sistemului (sistemelor) dumneavoastră. Sun nu face nici o declarație, nu oferă nici o garanție cu privire la informațiile conținute în acest document. ORICE FEL DE GARANȚII, EXPRESE SAU IMPLICITE, INCLUSIV, DAR FĂRĂ A SE LIMITA LA GARANȚIILE DE VANDABILITATE, DE ADECVARE LA UN ANUMIT SCOP SAU DE NERESPECTARE A LEGII, SUNT REFUZATE PRIN PREZENTA. PRIN ACCESAREA ACESTUI DOCUMENT, RECUNOAȘTEȚI CĂ SUN NU VA FI ÎN NICIUN CAZ RĂSPUNZĂTOARE PENTRU ORICE DAUNE DIRECTE, INDIRECTE, ACCIDENTALE, PUNITIVE SAU DE CONSECINȚĂ CARE REZULTĂ DIN UTILIZAREA SAU NEUTILIZAREA DE CĂTRE DUMNEAVOASTRĂ A INFORMAȚIILOR CONȚINUTE ÎN PREZENTUL DOCUMENT. Această notificare de alertă Sun Alert conține informații confidențiale și de proprietate Sun. Aceasta vă este furnizată în conformitate cu prevederile contractului dumneavoastră de achiziție de servicii de la Sun sau, dacă nu aveți un astfel de contract, cu Termenii de utilizare Sun.com. Această notificare de alertă Sun poate fi utilizată numai în scopurile prevăzute de aceste acorduri.
.