en

‫ چندين آسيب پذيري در Oracle Java SE

IRCAD2011101491
شماره:IRCAD2011101491
تاريخ انتشار: 19-10-2011
ميزان حساسيت: بسيار مهم
نرم افزارهاي تحت تاثير: 
Oracle Java JDK SE 1.7.x / 7.x
Oracle Java JRE SE 1.7.x / 7.x
Sun Java JDK 1.5.x
Sun Java JDK 1.6.x / 6.x
Sun Java JRE 1.4.x
Sun Java JRE 1.5.x / 5.x
Sun Java JRE 1.6.x / 6.x
Sun Java SDK 1.4.x
 
توضيح:
چندين آسيب پذيري در Oracle Java SE گزارش شده است. اين آسيب پذيري ها مي توانند توسط كاربران خرابكار مورد سوء استفاده قرار بگيرند تا اطلاعات خاص را افشاء نمايند و توسط افراد خرابكار مورد سوء استفاده قرار بگيرند تا به طور بالقوه اطلاعات حساس را افشاء نمايند، يك نشست كاربر را ارتباط ربايي نمايند، حملات آلودگي حافظه پنهان DNS را هدايت كنند، داده هاي خاص را دستكاري كنند، يك حمله انكار سرويس ايجاد نمايند و كنترل يك سيستم آسيب پذير رار دراختيار بگيرند.
1) يك خطاي طراحي در پروتكل هاي لايه سوكت هاي امن 3.0 (SSL) و امنيت لايه انتقال 1.0 (TLS) مي تواند مورد سوء استفاده قرار بگيرد تا به طور بالقوه از طريق يك حمله MITM اطلاعات حساس را افشاء نمايند.
2) يك خطا در اجزاي Deployment ممكن است از طريق اپلت هاي نامعتبر منجر به اجراي كد دلخواه روي كلاينت شود.
اين آسيب پذيري تنها در پلت فرم هاي ويندوز تاثير مي گذارد.
3)  يك خطا در اجزاءDeserializationممكن است از طريق اپلت هاي نامعتبر منجر به اجراي كد دلخواه روي كلاينت شود.
4) يك خطا در اجزاء Scripting ممكن است منجر به اجراي كد دلخواه شود.
5) يك خطا در اجزاء Sound ممكن است از طريق اپلت هاي نامعتبر منجر به اجراي كد دلخواه روي كلاينت و روي سرور شود يا داده ها از طريق يك سرويس وب به APIs فرستاده شوند.
6) يك خطا در اجزاء Deployment مي‌تواند مورد سوء استفاده قرار بگيرد تا از طريق اپلت هاي نامعتبر اطلاعات خاص را روي كلاينت دستكاري و افشاء نمايند.
7) يك خطا در اجزاء Networking مي‌تواند مورد سوء استفاده قرار بگيرد تا از طريق اپلت هاي نامعتبر اطلاعات خاص را روي كلاينت دستكاري و افشاء نمايند.
8) يك خطا در اجزاء AWT ممكن است از طريق اپلت هاي نامعتبر منجر به اجراي كد دلخواه روي كلاينت شود.
9) يك خطا در اجزاء Swing ممكن است از طريق اپلت هاي نامعتبر منجر به اجراي كد دلخواه روي كلاينت شود.
10) يك خطا در اجزاء AWT ممكن است از طريق اپلت هاي نامعتبر منجر به اجراي كد دلخواه روي كلاينت شود.
11) يك خطا در اجزاء 2D ممكن است از طريق اپلت هاي نامعتبر منجر به اجراي كد دلخواه روي كلاينت و روي سرور شود يا داده ها از طريق يك سرويس وب به APIs فرستاده شوند.
12) java.net.Socket API به درستي تعداد سوكت هاي UDP همزمان را محدود نمي كند. اين مساله مي تواند مورد سوء استفاده قرار بگيرد تا بوسيله سوكت هاي در دسترس بوسيله فريب يك كاربر به مشاهده يك وب سايت حاوي اپلت هاي مخرب حملات آلودگي حافظه پنهان DNS را هدايت كنند.
13) يك خطا در اجزاء JAXWS ممكن است از طريق اپلت هاي نامعتبر منجر به اجراي كد دلخواه روي كلاينت و روي سرور شود يا داده ها از طريق يك سرويس وب به APIs فرستاده شوند.
14) يك خطا در اجزاء Java Runtime Environment ممكن است از طريق اپلت هاي نامعتبر منجر به اجراي كد دلخواه روي كلاينت شود.
15) يك خطا در اجزاء Java Runtime Environment مي تواند مورد سوء استفاده قرار بگيرد تا داده هاي خاص را دستكاري نمايد و از طريق اپلت هاي نامعتبر  روي كلاينت يك حمله انكار سرويس ايجاد نمايد.
16) يك خطا در اجزاء RMI مي تواند براي افشاء و دستكاري داده هاي خاص مورد سوء استفاده قرار بگيرد و روي يك سرور RIM حمله انكار سرويس ايجاد نمايد.
17) يك خطا در اجزاء RMI مي تواند براي افشاء و دستكاري داده هاي خاص مورد سوء استفاده قرار بگيرد و روي يك سرور RIM حمله انكار سرويس ايجاد نمايد.
18) يك خطا در اجزاء HotSpot مي تواند از طريق اپلت هاي نامعتبر روي كلاينت براي افشاء داده هاي خاص مورد سوء استفاده قرار بگيرد.
19) يك خطا در اجزاء JSSE مي تواند براي افشاء و دستكاري داده هاي خاص مورد سوء استفاده قرار بگيرد و روي يك سرور RIM حمله انكار سرويس ايجاد نمايد.
20) يك خطا در اجزاء Deployment مي تواند از طريق اپلت هاي نامعتبر روي كلاينت براي افشاي داده اي خاص مورد سوء استفاده قرار بگيرد.
 
راهكار:
بسته هاي به روز رساني را اعمال نماييد.
 
منابع:
Oracle:
IBM:
 
Secunia:
 
 

The Wall

No comments
You need to sign in to comment