[Sun] Mehrere Schwachstellen in der Java Laufzeitumgebung – 254609

[Sun] Mehrere Schwachstellen in der Java Laufzeitumgebung - 254609

Von

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Sun Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2009-1093 / CVE-2009-1094 / CVE-2009-1095 / CVE-2009-1096 /
CVE-2009-1097 / CVE-2009-1098 / CVE-2009-1099 / CVE-2009-1100 /
CVE-2009-1101 / CVE-2009-1102 / CVE-2009-1103 / CVE-2009-1104 /
CVE-2009-1105 / CVE-2009-1106 / CVE-2009-1107 – Mehrere Schwachstellen
in der Java Laufzeitumgebung

In der Java Laufzeitumgebung (JRE) und der Java Entwicklungsumgebung
wurden mehrere Schwachstellen gefunden:
– – die JAX-WS und LDAP Dienste ermoeglichen einen entfernten Denial of Service
Angriff (CVE-2009-1101, CVE-2009-1093);
– – der LDAP Client ermoeglicht die entfernten Angreifern die Ausfuehrung
von Befehlen (CVE-2009-1094);
– – ein Buffer Overflow in Pack200 (CVE-2009-1095, CVE-2009-1096);
– – eine Schwachstelle in der Befehlserzeugung (CVE-2009-1102);
– – Buffer Overflows bei der Verarbeitung von PNG und GIF Bilddateien
sowie Type1 Fonts (CVE-2009-1097, CVE-2009-1098, CVE-2009-1099);
– – moegliches Ausschoepfen von Plattenpeicher bei der Verarbeitung
temporaerer Font Dateien (CVE-2009-1100);
– – eine Schwaeche im Java Plug-in erlaubt bei der Deserialisierung eine
Privilegieneskalation (CVE-2009-1103);
– – LiveConnect und das fehlerhafte Parsen von crossdomain.xml Dateien
ermoeglichen die Umgehung
beabsichtigter Zugriffsbeschraenkungen (CVE-2009-1104, CVE-2009-1106);
– – die Moeglichkeit ein ‘trusted applet’ in einer aelteren, verwundbaren
JRE Version laufen zu lassen (CVE-2009-1105);
– – der entfernte Missbrauch eines signierten Applets ist moeglich
(CVE-2009-1107).

Diese Schwachstellen erlauben einem entfernten Angreifer im
schlimmsten Fall die Same Origin Policy zu verletzen, vertrauliche
Daten auszuspaehen, Sicherheitsbeschraenkungen zu umgehen, nicht
vertrauenswuerdige Applets mit erhoehten Rechten auszufuehren einen
Denial of Service auszuloesen oder Befehle mit den Rechten des
Benutzers auszufuehren.

Betroffen sind die folgenden Software Pakete und Plattformen:

Java Platform, Standard Edition (Java SE)

Alle Plattformen auf denen der JAX-WS Dienst installiert ist

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

Hersteller Advisory:
http://sunsolve.sun.com/search/document.do?assetkey=1-66-254609-1

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Detlev O. Matthies

– —

Detlev O. Matthies, M.Sc. (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen https://www.cert.dfn.de/autowarn

Solution Type Sun Alert
Solution 254609 : A Security Vulnerability in the Java Runtime
Environment (JRE) HTTP Server Implementation May Allow a Denial of
Service (DoS) Condition on a JAX-WS Service Endpoint
Related Categories

* Home>Content>Sun Alert Criteria Categories>Security
* Home>Content>Sun Alert Release Phase>Resolved

Bug ID
6630639

Product
Java Platform, Standard Edition (Java SE)

Date of Resolved Release
24-Mar-2009

SA Document Body
A Security Vulnerability in the Java Runtime Environment (JRE) HTTP Server Impl
ementation May Allow a Denial of Service (DoS) Condition on a JAX-WS Service En
dpoint

1. Impact
A security vulnerability in the Java Runtime Environment (JRE) HTTP
server implementation may allow a remote unprivileged user to create a
Denial of Service (DoS) condition on a JAX-WS service endpoint that
runs on the JRE.
2. Contributing Factors
This issue can occur in the following Java SE and Java SE for Business
releases for Windows, Solaris, and Linux:
* JDK and JRE 6 Update 12 and earlier

Note 1: This issue is applicable only to systems that use the HTTP
Server implementation in the affected releases as a JAX-WS endpoint.
Note 2: JDK and JRE 5.0, and SDK and JRE 1.4.2 and 1.3.1 are not
affected by this issue.
To determine the version of Java installed on a system, the following
command can be run:
% java -version
java version “1.5.0_17”

3. Symptoms
Should the described issue occur, the JAX-WS service endpoint may
become unresponsive.
4. Workaround
There is no workaround for this issue. Please see the “Resolution”
section below.
5. Resolution
This issue is addressed in the following Java SE and Java SE for
Business releases for Windows, Solaris, and Linux:
* JDK and JRE 6 Update 13 or later

Java SE releases are available at:
JDK and JRE 6 Update 13:
http://java.sun.com/javase/downloads/index.jsp
JRE 6 Update 13:
http://java.com/
through the Java Update tool for Microsoft Windows users.
JDK 6 Update 13 for Solaris is available in the following patches:
* Java SE 6 Update 13 (as delivered in patch 125136-14 or later)
* Java SE 6 Update 13 (as delivered in patch 125137-14 or later
(64bit))
* Java SE 6 x86 Update 13 (as delivered in patch 125138-14 or later)
* Java SE 6 x86 Update 13 (as delivered in patch 125139-14 or later
(64bit))

Java SE for Business releases are available at:
http://www.sun.com/software/javaseforbusiness/getit_download.jsp
Note: When installing a new version of the product from a source other
than a Solaris patch, it is recommended that the old affected versions
be removed from your system. To remove old affected versions on the
Windows platform, please see:
http://www.java.com/en/download/help/5000010800.xml
For more information on Security Sun Alerts, see Technical Instruction
ID 213557.
This Sun Alert notification is being provided to you on an “AS IS”
basis. This Sun Alert notification may contain information provided by
third parties. The issues described in this Sun Alert notification may
or may not impact your system(s). Sun makes no representations,
warranties, or guarantees as to the information contained herein. ANY
AND ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING WITHOUT LIMITATION
WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE, OR
NON-INFRINGEMENT, ARE HEREBY DISCLAIMED. BY ACCESSING THIS DOCUMENT YOU
ACKNOWLEDGE THAT SUN SHALL IN NO EVENT BE LIABLE FOR ANY DIRECT,
INDIRECT, INCIDENTAL, PUNITIVE, OR CONSEQUENTIAL DAMAGES THAT ARISE OUT
OF YOUR USE OR FAILURE TO USE THE INFORMATION CONTAINED HEREIN. This
Sun Alert notification contains Sun proprietary and confidential
information. It is being provided to you pursuant to the provisions of
your agreement to purchase services from Sun, or, if you do not have
such an agreement, the Sun.com Terms of Use. This Sun Alert
notification may only be used for the purposes contemplated by these
agreements.
Copyright 2000-2009 Sun Microsystems, Inc., 4150 Network Circle, Santa
Clara, CA 95054 U.S.A. All rights reserved.
Attachments
This solution has no attachment

—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.2 (GNU/Linux)

iD8DBQFJzQ11k0kIxZMiiQ8RAuH2AJ9Glf1PeBWgabMBq8LWQghu6UK07gCcDwkr
k62Jk398jD+WWyJ9gDjZWTk=
=bW6j
—–END PGP SIGNATURE—–

© COMPUTEC MEDIA GmbH
Nach oben