GLSA 200602-07: Sun JDK/JRE: Applet privilege escalation

Опасность:	средняя
Заголовок:	Sun JDK/JRE: Applet privilege escalation
Дата:	15.02.2006
Ошибки:	#122156
ID:	200602-07

Сводка

Sun's Java Development Kit (JDK) and Java Runtime Environment (JRE) do not adequately constrain applets from privilege escalation and arbitrary code execution.

Назначение

Sun's JDK and JRE provide interpreters for Java Applets in a sandboxed environment. These implementations provide the Java Web Start technology that can be used for easy client-side deployment of Java applications.

Уязвимые пакеты

Пакет	Уязвимый	Нетронутый	Архитектура(ы)
dev-java/sun-jdk	< 1.4.2.10	>= 1.4.2.10	All supported architectures
dev-java/sun-jre-bin	< 1.4.2.10	>= 1.4.2.10	All supported architectures

Описание

Applets executed using JRE or JDK can use "reflection" APIs functions to elevate its privileges beyond the sandbox restrictions. Adam Gowdiak discovered five vulnerabilities that use this method for privilege escalation. Two more vulnerabilities were discovered by the vendor. Peter Csepely discovered that Web Start Java applications also can an escalate their privileges.

Воздействие

A malicious Java applet can bypass Java sandbox restrictions and hence access local files, connect to arbitrary network locations and execute arbitrary code on the user's machine. Java Web Start applications are affected likewise.

Обход

Select another Java implementation using java-config.

Решение

All Sun JDK users should upgrade to the latest version:

    # emerge --sync
    # emerge --ask --oneshot --verbose ">=dev-java/sun-jdk-1.4.2.10"

All Sun JRE users should upgrade to the latest version:

# emerge --sync # emerge --ask --oneshot --verbose ">=dev-java/sun-jre-bin-1.4.2.10"

Ссылки

• Sun Security Alert ID 102170
• Sun Security Alert ID 102171
• CVE-2006-0614
• CVE-2006-0615
• CVE-2006-0616
• CVE-2006-0617

Наличие

Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security: http://security.gentoo.org/glsa/glsa-200602-07.xml

Опасения?

Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.

Лицензия

Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.