CERT-FI haavoittuvuustiedote 109/2009

Sun Java -ohjelmiston päivitykset korjaavat useita haavoittuvuuksia

Kohde:	- palvelimet ja palvelinsovellukset - työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- paikallisesti - ilman kirjautumista - etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen - käyttövaltuuksien laajentaminen - tietojen muokkaaminen - luottamuksellisen tiedon hankkiminen - palvelunestohyökkäys - suojauksen ohittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Sun Java -ohjelmistosta on löydetty useita haavoittuvuuksia, joista vakavimmat voivat mahdollistaa hyökkääjän koodin suorittamisen järjestelmässä.

Virheet DER-koodatun tiedon käsittelyssä ja HTTP-headereiden käsittelyssä voivat saada aikaan muistin loppumisen Java Runtime Engineltä, mikä aiheuttaa palvelunestotilanteen.

Virhe viestin allekirjoitusten (HMAC digest) käsittelyssä voi mahdollistaa autentikaation ohittamisen väärennetyllä digitaalisella allekirjoituksella.

Java Web Start Installer -ohjelman virhettä voi käyttää epäluotettavan Java Web Start -sovelluksen ajamiseen luotettavana sovelluksena ja halutun koodin suorittamiseen.

Java Runtime Environment Deployment Toolkit -ohjelman virhe mahdollistaa hyökkääjän koodin suorittamisen hyökkäystarkoituksessa tehtyjen www-sivujen avulla.

Java Runtime Environment Java Update -mekanismin virheen vuoksi JRE ei päivity muilla kuin englanninkielisissä Windows-käyttöjärjestelmäversioissa.

Hyökkäystarkoituksessa luotuja ääni- tai kuvatiedostoja voi käyttää hyväksi käyttövaltuuksien nostamiseen ja halutun koodin suorittamiseen tai tiedostojen lukemiseen ja kirjoittamiseen käyttämällä hyväksi Java Web Start -sovelluksen virheitä.

HAAVOITTUVAT OHJELMISTOT:

• Sun Java JDK ja JRE versio 6 Update 16 ja vanhemmat versiot
• Sun Java JDK ja JRE versio 5.0 Update 21 ja vanhemmat versiot
• Sun Java SDK ja JRE versio 1.4.2_23 ja vanhemmat versiot
• Sun Java SDK ja JRE versio 1.3.1_26 ja vanhemmat versiot

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä ohjelmistot korjattuihin versioihin:

• Sun JDK ja JRE 6 Update 17
• Sun JDK and JRE 5.0 Update 22
• Sun SDK and JRE 1.4.2_24
• Sun SDK and JRE 1.3.1_27
• Java SE for Business

LISÄTIETOA:

• http://www.vupen.com/english/advisories/2009/3131
• http://sunsolve.sun.com/search/document.do?assetkey=1-66-270476-1
• http://sunsolve.sun.com/search/document.do?assetkey=1-66-270475-1
• http://sunsolve.sun.com/search/document.do?assetkey=1-66-270474-1
• http://sunsolve.sun.com/search/document.do?assetkey=1-66-269870-1
• http://sunsolve.sun.com/search/document.do?assetkey=1-66-269869-1
• http://sunsolve.sun.com/search/document.do?assetkey=1-66-269868-1

PÄIVITYSHISTORIA:

4.11.2009, kello 16.00: Julkaistu

Sivua päivitetty 04.11.2009

Tulostusversio