Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Haavoittuvuudet > 2004 > CERT-FI haavoittuvuustiedote 082/2004

CERT-FI haavoittuvuustiedote 082/2004

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

23.11.2004

Haavoittuvuus Sun Java -ohjelmistossa

     
Kohde: - työasemat ja loppukäyttäjäsovellukset
Lisätietoja
Hyökkäystapa: - paikallisesti
- etäkäyttö
Lisätietoja
Hyväksikäyttö: - komentojen mielivaltainen suorittaminen
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
Lisätietoja

Sun Java -laajennus on eri Internet-selainohjelmistoissa laajassa käytössä oleva komponentti, jonka tarkoituksena on luoda yhteysrajapinta selainohjelmistojen ja Sun Java -ohjelmiston välille. Yhteysrajapinnan avulla voidaan suorittaa eri www-sivustoilla olevia Java-sovelluksia käyttäjän selainohjelmistossa.

Sun Java -ohjelmistosta on löydetty haavoittuvuus, jota hyväksikäyttämällä hyökkääjän on mahdollista suorittaa haavoittuvassa tietojärjestelmässä komentoja, jotka ohittavat Javassa käytössä olevan suojamekanismin (sandbox). Haavoittuvuutta voidaan käyttää hyökkääjän toimesta mm. omien komentojen suorittamiseen kohdejärjestelmässä selainohjelmiston käyttäjän oikeuksin.

Haavoittuvuutta voidaan hyväksikäyttää eri selainohjelmistojen kautta. Sun Java -ohjelmistoa käyttäviä selainohjelmistoja ovat mm. Microsoft Internet Explorer, Mozilla ja Firefox. On huomioitavaa, että haavoittuvuutta voidaan hyväksikäyttää sekä Windows että Unix / Linux -tietojärjestelmissä.

HAAVOITTUVAT OHJELMISTOT:

  • Sun Java 2 Platform Standard Edition (J2SE) 1.4.2_01

  • Sun Java 2 Platform Standard Edition (J2SE) 1.4.2_04

On todennäköistä, että aiemmat versiot ovat myös haavoittuvia.

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva tietojärjestelmä Sun Java ohjelmistoversiolla J2SE v 1.4.2_06, joka on ladattavissa osoitteesta:

http://java.sun.com/j2se/1.4.2/download.html

Lisätietoja haavoittuvuuden rajaamiskeinoista on saatavilla mm. osoitteesta:

http://www.idefense.com/application/poi/display?id=158

LISÄTIETOA:

http://www.idefense.com/application/poi/display?id=158
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2004-1029

PÄIVITYSHISTORIA:

23.11.2004: Julkaistu
Sivua päivitetty 27.07.2007   Tulostusversio Tulostusversio