Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Haavoittuvuudet > 2005 > CERT-FI haavoittuvuustiedote 027/2005

CERT-FI haavoittuvuustiedote 027/2005

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

21.3.2005

Haavoittuvuus Sun Java -ohjelmistossa

     
Kohde: - työasemat ja loppukäyttäjäsovellukset
Lisätietoja
Hyökkäystapa: - etäkäyttö
Lisätietoja
Hyväksikäyttö: - komentojen mielivaltainen suorittaminen
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
Lisätietoja

Java Web Start on osa JRE (Java Runtime Environment) ohjelmistoa. Java Web Start on tekniikka, jonka avulla käyttäjä voi helposti suorittaa www-sivun kautta Java-sovelluksia. Java Web Startista on löydetty vakava haavoittuvuus.

Löydetty haavoittuvuus liittyy tiettyjen JNLP (Java Network Launch Protocol) -tiedoston sisältämien parametrien virheelliseen käsittelyyn. Haavoittuvuuden avulla Java-virtuaalikoneelle voidaan syöttää turvapolitiikkaan liittyviä parametreja, ja Java Web Startin käynnistämä ohjelmisto voidaan suorittaa näillä parametreilla. Haavoittuvuutta hyväksikäyttämällä hyökkääjän on mahdollista suorittaa kohdejärjestelmässä omia komentojaan. Haavoittuvuutta voidaan hyväksikäyttää www-sivun kautta, eikä hyväksikäyttö vaadi käyttäjältä muita toimenpiteitä kuin vihamielisen www-sivun avaamisen.

HAAVOITTUVAT OHJELMISTOT:

  • J2SE 1.4.2-versiot ennen versiota 1.4.2_07

Sun Java -ohjelmistoa käyttäviä selaimia ovat mm. Microsoft Internet Explorer, Mozilla ja Mozilla Firefox. On huomioitavaa, että haavoittuvuutta voidaan hyväksikäyttää sekä Windows että Unix / Linux -tietojärjestelmissä.

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva JRE-ohjelmisto valmistajan ohjeiden mukaan.

LISÄTIETOA:

http://sunsolve.sun.com/search/document.do?assetkey=1-26-57740-1

http://jouko.iki.fi/adv/ws-fi.html

PÄIVITYSHISTORIA:

21.03.2005: Julkaistu
Sivua päivitetty 17.07.2007   Tulostusversio Tulostusversio