Säkerhetsbrister i LDAP-implementationen i Java Runtime Environment (JRE) kan möjliggöra en överbelastning (DoS) och att skadlig kod utförs

BY admin
|
Kategori
Säkerhet
Release Phase
Resolved

Bug Id
6717680, 6737315
Datum för löst utgivning
24-Mar-2009
Säkerhetssårbarheter i LDAP-implementationen i Java Runtime Environment (JRE) kan möjliggöra en överbelastning (DoS) och att skadlig kod exekveras:
1. Påverkan
CR 6717680:
En säkerhetssårbarhet i Java Runtime Environment (JRE) vid initialisering av LDAP-anslutningar kan utnyttjas av en fjärrklient för att orsaka en överbelastning av LDAP-tjänsten.
CR 6737315:
En säkerhetssårbarhet i Java Runtime Environment LDAP-klientimplementering kan göra det möjligt för skadlig data från en LDAP-server att orsaka att skadlig kod oväntat laddas och exekveras på en LDAP-klient.
2. Bidragande faktorer
Dessa problem kan uppstå i följande versioner av Java SE och Java SE for Business för Windows, Solaris och Linux:

  • JDK och JRE 5.0 Update 17 och tidigare
  • JDK och JRE 6 Update 12 och tidigare

och i följande version av Java SE for Business för Windows, Solaris och Linux:

  • SDK och JRE 1.4.2_19 och tidigare

och i följande Java SE-version för Windows och Solaris:

  • SDK och JRE 1.3.1_24 och tidigare

För att avgöra vilken version av Java som är installerad på ett system kan följandekommando användas:

 % java -version
java version "1.5.0_17

För att avgöra vilken standardversion av JRE som Internet Explorer använder, se följande URL:

  • http://java.com/en/download/installed.jsp?detect=jre&try=1

För att avgöra vilken standardversion av JRE som Mozilla- eller Firefox-browsers använder, besök URL ”about:plugins”. Webbläsaren kommer att visa en sida som heter ”Installed plug-ins” som listar versionen av JavaPlug-in:

 Java(TM) Platform SE 6 U11

I det här exemplet är den version av JRE som webbläsaren använder 6Update 11.
3.Symtom
Om det problem som beskrivs i CR 6717680 uppstår kan LDAP-tjänsten inte svara.
Det finns inga tillförlitliga symtom som tyder på att det problem som beskrivs i CR 6737315 har utnyttjats.
4. Åtgärd
Det finns inga åtgärder för att lösa dessa problem. Se avsnittetLösning nedan.
5. Lösning
Dessa problem behandlas i följande versioner:

  • JDK och JRE 6 Update 13 eller senare
  • JDK och JRE 5.0 Update 18 eller senare

och i följande version av Java SE for Business för Windows, Solaris och Linux:

  • SDK och JRE 1.4.2_20 eller senare

och i följande version av Java SE för Windows och Solaris:

  • SDK och JRE 1.3.1_25 eller senare

Java SE-versioner finns tillgängliga på:
JDK och JRE 6 Update 13:

  • http://java.sun.com/javase/downloads/index.jsp

JRE 6 Update 13:

  • http://java.com/
  • Genom Java Updatetool för Microsoft Windows-användare

JDK 6 Update 13 för Solaris finns i följande patchar:

  • Java SE 6: uppdatering 13 (som levereras i patch 125136-14)
  • Java SE 6: uppdatering 13 (som levereras i patch 125137-14 (64bit))
  • Java SE 6_x86: uppdatering 13 (levereras i patch 125138-14)
  • Java SE 6_x86: uppdatering 13 (levereras i patch 125139-14 (64bit))

JDK och JRE 5.0 Update 18:

  • http://java.sun.com/javase/downloads/index_jdk5.jsp

JDK 5.0 Update 18 för Solaris finns i följande patchar:

  • J2SE 5.0: update 18 (as delivered in patch 118666-19)
  • J2SE 5.0: update 18 (as delivered in patch 118667-19 (64bit))
  • J2SE 5.0_x86: uppdatering 18 (levereras i patch 118668-19)
  • J2SE 5.0_x86: uppdatering 18 (levereras i patch 118669-19 (64bit))

Java SE for Business-versioner finns tillgängliga på:

  • http://www.sun.com/software/javaseforbusiness/getit_download.jsp

Anmärkning 1: Java SE-versionernaSDK och JRE 1.4.2 har slutfört Suns EOSL-process (End of Service Life). Sun rekommenderar att användarna uppgraderar till den senaste Java SE-versionen. Kunder som är intresserade av att fortsätta få kritiska rättelser på SDK och JRE 1.4.2 uppmanas att migrera till Java SE for Business.
Anm. 2: SDK och JRE 1.3.1 har avslutat Suns EOSL-process (End of Service Life) och stöds endast av kunder med stödkontrakt för Solaris 8 och Vintage Support Offerings supportkontrakt (se http://java.sun.com/j2se/1.3/download.html).Sun rekommenderar starkt att användarna uppgraderar till den senaste Java SE-utgåvan.
Anmärkning 3: När du installerar en ny version av produkten från en annan källa än en Solaris-patch rekommenderas det att de gamla berörda versionerna tas bort från ditt system.För att ta bort gamla berörda versioner på Windows-plattformen, se:

  • http://www.java.com/en/download/help/5000010800.xml

För mer information om säkerhetsvarningar från Sun, se 1009886.1.
Detta meddelande om Sun-varningar tillhandahålls till dig på en ”AS IS”-basis. Denna Sun Alert kan innehålla information som tillhandahålls av tredje part. De problem som beskrivs i detta Sun Alert-meddelande kanske inte påverkar dina system. Sun lämnar inga utfästelser, garantier eller garantier för informationen i detta meddelande. ALLA GARANTIER, UTTRYCKLIGA ELLER UNDERFÖRSTÅDDA, INKLUSIVE MEN INTE BEGRÄNSAT TILL GARANTIER FÖR SÄLJBARHET, LÄMPLIGHET FÖR ETT VISST ÄNDAMÅL ELLER OSKADLIGGÖRANDE, AVVISAS HÄRMED. GENOM ATT TA DEL AV DETTA DOKUMENT ÄR DU MEDVETEN OM ATT SUN UNDER INGA OMSTÄNDIGHETER SKALL VARA ANSVARIG FÖR DIREKTA, INDIREKTA, TILLFÄLLIGA, STRAFFRÄTTSLIGA ELLER FÖLJDSKADOR SOM UPPSTÅR TILL FÖLJD AV DIN ANVÄNDNING ELLER UNDERLÅTENHET ATT ANVÄNDA DEN INFORMATION SOM FINNS I DETTA DOKUMENT. Detta Sun Alert-meddelande innehåller information som tillhör Sun och som är konfidentiell. Den tillhandahålls dig i enlighet med bestämmelserna i ditt avtal om att köpa tjänster från Sun, eller, om du inte har ett sådant avtal, i Sun.com:s användarvillkor. Detta Sun Alert-meddelande får endast användas för de ändamål som anges i dessa avtal.