CERT-FI haavoittuvuustiedote 012/2010

21.1.2010

Sun Java System Web Server -ohjelmiston haavoittuvuus

Kohde:	- palvelimet ja palvelinsovellukset	Lisätietoja
Hyökkäystapa:	- ilman kirjautumista - etäkäyttö - ilman käyttäjän toimia	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen - palvelunestohyökkäys	Lisätietoja
Ratkaisu:	- ongelman rajoittaminen - ei päivitystä tai rajoitusmenetelmää	Lisätietoja

Sun Java System Web ja Web Proxy Server -ohjelmistoista on löydetty haavoittuvuuksia. Puskurin ylivuodot TRACE- tai OPTIONS-pyyntöjen käsittelyssä tai ylipitkän "Authorization: Digest" -headerin käsittelyssä voivat kaataa palvelinohjelmiston ja mahdollistaa hyökkääjän koodin suorittamisen palvelimella.

HAAVOITTUVAT OHJELMISTOT:

• Sun Java System Web Server version 7.0 Update 7 (7.0u7) ja sitä vanhemmat versiot
• Sun Java System Web Proxy Server version 4.0 ennen Service pack 13 korjausta
  

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Haavoittuvuuksiin ei ole korjaavaa ohjelmistopäivitystä. Valmistajan julkaisemassa tiedotteessa on ohjeita miten haavoittuvuuksien vaikutuksia voidaan rajoittaa.

LISÄTIETOA:

• http://www.vupen.com/english/advisories/2010/0182
• http://sunsolve.sun.com/search/document.do?assetkey=1-66-275850-1
  

PÄIVITYSHISTORIA:

21.1.2010, kello 12.50: Julkaistu
28.1.2010, kello 16.08: Lisätty linkki valmistajan tiedotteeseen sekä tarkennettu haavoittuvien ohjelmistojen listaa

Sivua päivitetty 28.01.2010

Tulostusversio