CERT-FI haavoittuvuustiedote 026/2012

15.2.2012

Oracle Java -ohjelmiston helmikuun päivityksessä korjattu 14 haavoittuvuutta

Kohde:	- palvelimet ja palvelinsovellukset - työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- ilman kirjautumista - etäkäyttö - ilman käyttäjän toimia	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Oracle on julkaissut kriittiseksi luokiteltuja päivityksiä Java-ohjelmointikielen kehitys- ja ajoympäristöihin. Päivitykset korjaavat yhteensä 13 haavoittuvuutta. Osa haavoittuvuuksista voi mahdollistaa hyökkääjän koodin suorittamisen verkon yli ilman käyttäjätunnusta tai salasanaa. Kyseiset haavoittuvuudet ovat pisteytetty korkeimmalla mahdollisella CVSS-pisteytyksellä (10,0). Oracle on lisäksi julkaissut yhden haavoittuvuuden korjaavan päivityksen JavaFX:lle.

HAAVOITTUVAT OHJELMISTOT:

• Oracle Java JDK ja JRE 7 update 2 ja sitä vanhemmat versiot
• Oracle Java JDK ja JRE 6 update 30 ja sitä vanhemmat versiot
• Oracle Java JDK ja JRE 5.0 update 33 ja sitä vanhemmat versiot
• Oracle Java SDK ja JRE 1.4.2_35 ja sitä vanhemmat versiot
• JavaFX 2.0.2 ja sitä vanhemmat versiot

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuvat ohjelmistot korjattuihin versioihin valmistajan ohjeiden mukaisesti.

LISÄTIETOA:

• http://www.oracle.com/technetwork/topics/security/javacpufeb2012-366318.html
• http://www.oracle.com/technetwork/java/javase/downloads/index.html
• CVE-2011-3563, CVE-2012-0507, CVE-2011-5035, CVE-2012-0497
• CVE-2012-0498, CVE-2012-0499, CVE-2012-0500, CVE-2012-0501
• CVE-2012-0502, CVE-2012-0503, CVE-2012-0504, CVE-2012-0505
• CVE-2012-0506, CVE-2012-0508
  

PÄIVITYSHISTORIA:

4.4.2012, kello 14.20: CVE-2011-3571 korvattu CVE-2012-0507
15.2.2012, kello 10.31: Julkaistu

Sivua päivitetty 04.04.2012

Tulostusversio