The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В Java 6 Update 13 исправлено 16 уязвимостей

26.03.2009 19:59

Компания Sun Microsystems выпустила внеплановые версии обновления Java: JRE 6 Update 13, JRE 5.0 Update 18, JRE 1.4.2_20 и JRE 1.3.1_25 с исправлением 16 уязвимостей, уровень опасности 9 из которых оценивается как критический:

  • Ошибка в JRE LDAP клиенте может быть использована злоумышленником для загрузки и выполнения произвольного кода, при получении специально подготовленных данных со стороннего LDAP сервера;
  • Переполнение буфера и целочисленное переполнение в JRE, позволяют двумя разными способами выполнить код злоумышленника в момент распаковки средствами утилиты "unpack200" специально модифицированных JAR архивов, с апплетами и приложениями Java Web Start;
  • Ошибка распаковки сериализированных данных в Java плагине, позволяет злуомышленнику добиться чтения, записи и выполнения файлов с локального диска;
  • Ошибка в виртуальной машине JRE, может быть использована для чтения, записи и выполнения файлов с локального диска, в момент генерации кода на платформе Solaris SPARC;
  • Три переполнения буфера в обработчиках GIF и PNG изображений могут привести к выполнению кода злоумышленника в системе при выполнении специально подготовленного апплета или Java Web Start приложения ;
  • Ошибка в JRE позволяет апплету или Java Web Start приложению инициировать переполнение буфера в момент обработки шрифтов, что может привести к выполнению кода злоумышленника;
  • Ошибка в JRE HTTP сервере позволяет злоумышленнику заблокировать работу JAX-WS сервиса;
  • Java плагин позволяет локально загруженному JavaScript коду осуществить соединение с заданным сетевым портом, что может быть использовано в комбинации с XSS атакой (межсайтовый скриптинг) для организации соединения к прикрытым от внешнего мира сетевым сервисам локальной машины;
  • Java плагин позволяет выполнить апплеты под управлением более ранних версий JRE, если это разрешено пользователем. Может быть использовано через ввод пользователя в заблуждение для запуска кода эксплуатирующего уязвимости прошлых версий JRE;
  • Ошибка обработки crossdomain.xml файлов в Java плагине, может быть использована в апплетах злоумышленника для соединения к произвольным доменам, распространяющим crossdomain.xml файлы;
  • Ошибка в Java плагине позволяет валидному апплету изменить содержимое диалога с предупреждением безопасности и ввести пользователя в заблуждение;
  • Две ошибки в коде сохранения и обработки временных файлов со шрифтами, позволяют специально подготовленному апплету или Java Web Start приложению исчерпать место на диске;
  • Ошибка при инициализации LDAP соединений может быть использована для блокирования работы LDAP сервиса;


  1. Главная ссылка к новости (http://java.sun.com/javase/6/w...)
  2. OpenNews: Обновление Java 6 update 12, представлена 64-разрядная сборка java плагина
  3. OpenNews: Обновление Java 6 update 11. SpringSource анонсировала промышленную версию Tomcat
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: java, jre, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (19) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Анонимус (?), 23:17, 26/03/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Жаль только в убунтовских репах её не будет до октября :(
     
     
  • 2.3, ононим (?), 23:59, 26/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    обновления безопасности все равно выпустят даже для выпущенного релиза. в чем паника?
     

  • 1.2, User294 (ok), 23:43, 26/03/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Дать подать сюда этих тяпкиных-ляпкиных^W жавофилов оравших что веб-приложения через яву - якобы безопасно.Глядя на такой changelog я уж лучше без ява-приложений в браузере как-нить обойдусь.
     
     
  • 2.4, iZEN (ok), 00:05, 27/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    unpack200 написан на C или на C++.
    Внешний LDAP-сервер — скорее всего тоже.
    "Обработчики" GIF и PNG — 100% неуправляемый код на C, вызываемый из Java-приложений.

    Так кто от кого защищается?

     
     
  • 3.6, User294 (ok), 02:09, 27/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >"Обработчики" GIF и PNG — 100% неуправляемый код на C, вызываемый из Java-приложений.

    Правильно, потому что если написать это на яве - юзер от тормозов повесится нахрен.

    > Так кто от кого защищается?

    От вот этой вот "якобы безопасной" технологии.Не выполнять java-stuff с веб страниц - наиболее безопасно ИМХО.Тогда никто не переполнит буфера лишний раз, не обойдет в стопервый раз ограничения JVM и прочая.Понимаю бы если б это  было единоразово, но оно ж постоянно вот так вот.Как-то changelog не внушает оптимизма, дыра на дыре и дырой погоняет.

     
     
  • 4.7, F (?), 02:58, 27/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Ну тогда, для начала, я бы рекомендовал вам отказаться от JavaScript: думаю, что он поопасней будет.
     
  • 4.9, iZEN (ok), 10:15, 27/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>"Обработчики" GIF и PNG — 100% неуправляемый код на C, вызываемый из Java-приложений.
    >Правильно, потому что если написать это на яве - юзер от тормозов повесится нахрен.

    Нет. Это потому, что лесяпед никому не хочется изобретать — LZMA и ZIP уже написаны на C и код довольно большой для полного перевода его на Java. Легче использовать то, что есть, и по идеологическим причинам — "побочные эффекты" должны быть одни, а не много и разных.

    >От вот этой вот "якобы безопасной" технологии.Не выполнять java-stuff с веб страниц - наиболее безопасно ИМХО.Тогда никто не переполнит буфера лишний раз, не обойдет в стопервый раз ограничения JVM и прочая.Понимаю бы если б это  было единоразово, но оно ж постоянно вот так вот.Как-то changelog не внушает оптимизма, дыра на дыре и дырой погоняет.

    Посмотрите, с каким упорством чинятся дыры в Firefox и (не)чинятся в IE. Чуть ли не каждые две-три недели выходят новые минорные версии и заплатки, соответственно!

     
     
  • 5.20, vitek (??), 19:28, 30/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    опять всё с ног на голову.
    причину то я понять могу - да не хочется.. уже написано... на этом страшном и ни кем не управляемом С...

    но когда в рекламных роликах говорят о жабе, то не упоминают, что она использует этот страшный С.

    возникает вопрос. а что ещё страшного она использует?

    p.s.
    здесь можно заменить слово жаба на любое другое... впрочем как и С... и даже поменять их местами. дырки есть и точка... в законченном и объявленном безопасным (а иногда и самом безопасным) ПО.

     
  • 3.8, F (?), 03:04, 27/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    > Так кто от кого защищается?

    В том то и дело. Чтобы действительно получить от управляемого кода преимущество в безопасности, все пользовательское пространство полностью должно быть в управляемом коде. Думаю, что OS следующего поколения будут устроены именно так. Уже есть JNode, Inferno, Singularity.

     
     
  • 4.12, ДяДя (?), 22:49, 27/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Oberon и Bluebottle ;-) http://bluebottle.ethz.ch/
    Oberon постарше Java будет.
    Жаль, что в Java байткод стали сразу использовать не подумав.
    В .NET подход более правильный, хотя тоже идея Витра как и байткод.
     
     
  • 5.14, F (?), 22:59, 27/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    > В .NET подход более правильный

    Чем именно? На самом деле интересно, поскольку я преимуществ .NET перед Java не вижу.

     
     
  • 6.15, iZEN (ok), 23:07, 27/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >> В .NET подход более правильный
    >
    >Чем именно? На самом деле интересно, поскольку я преимуществ .NET перед Java
    >не вижу.

    В .Net используется AOT (Ahead Of Time compiler) — приложение при первом запуске ГРУБО компилируется в бинарник, понятный операционной системе, после запуска .exe окончательно JIT'ится и кладётся в кэш (GAC) — ну точно локальный репозиторий. :)

    А преимществ .Net перед Java нет, так как это несопоставимые программные технологии.


     
     
  • 7.18, F (?), 03:09, 28/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    > В .Net используется AOT (Ahead Of Time compiler)

    Для Java есть GCJ, плюс никто не мешает добавить в Java механизм AOT компиляции аналогичный тому, который в .NET - это вопрос частной реализации, а не технологии в целом.

    > А преимществ .Net перед Java нет, так как это несопоставимые программные технологии.

    Разве? Проблема только в том, что под словом Java очень много всего сразу подразумевается, .NET - тоже много всего. Можно сравнивать JVM и CLR, язык Java и C#, FCL и Java API.

     
  • 2.10, ximaera (?), 18:37, 27/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Хорошо, на чём вы предлагаете писать веб-приложения?
     
     
  • 3.11, iZEN (ok), 22:39, 27/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Хорошо, на чём вы предлагаете писать веб-приложения?

    На JRuby. Нет? :)

     
     
  • 4.13, ДяДя (?), 22:51, 27/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    А Groovy ?
     
     
  • 5.16, iZEN (ok), 23:09, 27/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >А Groovy ?

    медленный газ


     
     
  • 6.17, thevery (??), 23:47, 27/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    grails медленнее чистого spring mvc всего на четверть...
     
     
  • 7.19, iZEN (ok), 07:26, 29/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >grails медленнее чистого spring mvc всего на четверть...

    Grails == замена ПХП, но никак не клиентского rich-приложения типа Web-браузера.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру