[NEWS] Sun Java JDK / JRE Multiple Vulnerabilities

c.m.g · 09-07-2008, 15:41

09 luglio 2008

La società di sicurezza Secunia riporta un Advisory (SA31010) in cui si spiega che sono state trovate multiple vulnerabilità in Sun Java, giudicate dalla stessa come Highly critical, che potrebbero essere sfruttate da malintenzionati da remoto per bypassare alcune restrizioni di sicurezza, divulgare informazioni di sistema o potenzialmente informazioni sensibili, causare attacchi di tipo (DoS) o compromettere il sistema di un utente ignaro.

Più nello specifico:

1) Un errore insito in Java Runtime Environment Virtual Machine può essere sfruttato da malintenzionati per caricare applet non autorizzate per leggere e scrivere files locali ed eseguire applicazioni locali.

2) Un errore insito in Java Management Extensions (JMX) management agent può essere sfruttato dal client JMX per compiere operazioni non autorizzate sul sistema in cui è in esecuzione JMX com la funzione di monitoraggio locale attivata.

3) Due errori insiti nel supporto di linguaggio scripting nel Java Runtime Environment può essere sfruttata da malintenzionati per caricare applets non autorizzate per accedere ad informazioni di altre applet e leggere e scrivere files locali ed eseguire applicazioni locali.

4) Altri errori in Java Web Start possono essere sfruttati da un'applicazione Java Web Start non autorizzata per causare attacchi di tipo buffer overflows.

5) Tre errori in Java Web Start possono essere sfruttati da applicazioni Java Web Start non autorizzate per creare o cancellare files arbitrari con i privilegi dell'utente in quel momento loggato e che ha avviato l'applicazione Java Web Start non autorizzata, o per determinare la locazione della cache Java Web Start.

e molti altri, per maggiori info, fare riferimento a questa pagina

Software vulnerabile:
Java Web Start 1.x
Java Web Start 5.x
Java Web Start 6.x
Sun Java JDK 1.5.x
Sun Java JDK 1.6.x
Sun Java JRE 1.3.x
Sun Java JRE 1.4.x
Sun Java JRE 1.5.x / 5.x
Sun Java JRE 1.6.x / 6.x
Sun Java SDK 1.3.x
Sun Java SDK 1.4.x

Soluzione:
Aggiornare il software alla versione fixata per il problema.

JDK and JRE 6 Update 7:
http://java.sun.com/javase/downloads/index.jsp

JDK and JRE 5.0 Update 16:
http://java.sun.com/javase/downloads/index_jdk5.jsp

SDK and JRE 1.4.2_18:
http://java.sun.com/j2se/1.4.2/download.html

SDK and JRE 1.3.1_23 (for customers with Solaris 8 and Vintage Support Offering support contracts):
http://java.sun.com/j2se/1.3/download.html

Falle scoperte da:
1) The vendor credits Fujitsu
4) The vendor credits:
* John Heasman of NGSSoftware
* An anonymous researcher, reporting via ZDI
5) Peter Csepely, reporting via ZDI
6) The vendor credits John Heasman of NGSSoftware
7) The vendor credits Gregory Fleischer
10) The vendor credits John Heasman of NGSSoftware

Original Advisory:
Sun:
http://sunsolve.sun.com/search/docum...=1-66-238628-1
http://sunsolve.sun.com/search/docum...=1-66-238666-1
http://sunsolve.sun.com/search/docum...=1-66-238687-1
http://sunsolve.sun.com/search/docum...=1-66-238905-1
http://sunsolve.sun.com/search/docum...=1-66-238965-1
http://sunsolve.sun.com/search/docum...=1-66-238966-1
http://sunsolve.sun.com/search/docum...=1-66-238967-1
http://sunsolve.sun.com/search/docum...=1-66-238968-1

Fonte: Secunia

c.m.g · 09-07-2008, 15:46

raccomando immediatamente di aggiornare ragazzi, ci sono molte falle corrette in questa versione

**Chill-Out** · 09-07-2008, 15:53

Ulteriori info sul Sun Security Blog

http://blogs.sun.com/security/

sampei.nihira · 09-07-2008, 17:13

Grazie dell'avviso !!

Non avevo mai fatto un aggiornamento JAVA con installato un HIPS e devo dire che è veramente uno scazz.....

Anche l'aggiornamento Microsoft, se non è forse peggio !!

La prossima volta mi sà che lo disattivo !!

CARVASIN · 10-07-2008, 12:39

Per aggiornare bisogna prima disinstallare la vecchia versione?

**Chill-Out** · 10-07-2008, 12:48

Quote:

Originariamente inviato da CARVASIN

Per aggiornare bisogna prima disinstallare la vecchia versione?

Aggiorni e successivamente disinstalli la vecchia

c.m.g · 10-07-2008, 12:55

ripreso da ossblog:

http://www.ossblog.it/post/4246/scop...bilita-in-java

CARVASIN · 10-07-2008, 12:57

Quote:

Originariamente inviato da Chill-Out

Aggiorni e successivamente disinstalli la vecchia

Ok, grazie!

c.m.g · 14-07-2008, 08:42

ripreso da punto informatico:

http://punto-informatico.it/2355124/...er-Java/p.aspx

Lazza84 · 14-07-2008, 12:21

Quindi l'aggiornamento nn passa sopra quelle vecchie ? Credevo di si

Mi dite cosa devo levare

(up 4 5 e 6 + v5 ?)

CARVASIN · 14-07-2008, 13:03

Quote:

Originariamente inviato da Lazza84

Quindi l'aggiornamento nn passa sopra quelle vecchie ? Credevo di si

Mi dite cosa devo levare

(up 4 5 e 6 + v5 ?)

A me han detto di rimuovere quelle vecchie. Cosi ho fatto e funziona

Volumex · 14-07-2008, 13:13

io ho la versione 5 cosa devo scaricare ?

c.m.g · 14-07-2008, 14:21

Quote:

Originariamente inviato da Volumex

io ho la versione 5 cosa devo scaricare ?

questa:

http://java.sun.com/javase/downloads/index_jdk5.jsp

c.m.g · 14-07-2008, 14:21

Quote:

Originariamente inviato da Lazza84

Quindi l'aggiornamento nn passa sopra quelle vecchie ? Credevo di si

Mi dite cosa devo levare

(up 4 5 e 6 + v5 ?)

devi togliere assolutamente le versioni vecchie e lasciare l'ultima installata, insomma togli tutte le versioni diverse dalla 6 update 7

Volumex · 14-07-2008, 15:24

ho sbagliato a scrivere la versione la mia è la versione 6 update 5 quale devo scaricare

Ignorante Informatico · 14-07-2008, 17:33

Quote:

Originariamente inviato da Volumex

..la mia è la versione 6 update 5 quale devo scaricare

La 6 Update 7

Nuz · 04-11-2008, 16:37

Disponibile la versione 6 update 10:

http://java.sun.com/javase/downloads/index.jsp

sampei.nihira · 05-11-2008, 16:50

Quote:

Originariamente inviato da Nuz

Disponibile la versione 6 update 10:

http://java.sun.com/javase/downloads/index.jsp

Nuz e/o qualche altro utente:

"Avete provato se come al solito l'aggiornamento da sw JAVA dice (le bugie come Pinocchio

) dicendo all'utente che ha la versione più aggiornata ?"

c.m.g · 05-11-2008, 17:42

in effetti il sistema di aggiornamento automatico dice che ho l'ultima versione anche se ho la 6 update 7.

sampei.nihira · 26-11-2008, 22:31

Anche l'aggiornamento da sw, adesso, informa della presenza di una versione più recente.
Chi ha ancora una versione obsoleta può fare la prova del 9 al link sotto:

http://www.java-software.de/it/download/installed.jsp

E naturalmente se la versione è old aggiornare.
Occorre poi rimuovere da "installazioni applicazioni" la versione vecchia.

09-07-2008, 15:41	#1
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	[NEWS] Sun Java JDK / JRE Multiple Vulnerabilities 09 luglio 2008 La società di sicurezza Secunia riporta un Advisory (SA31010) in cui si spiega che sono state trovate multiple vulnerabilità in Sun Java, giudicate dalla stessa come Highly critical, che potrebbero essere sfruttate da malintenzionati da remoto per bypassare alcune restrizioni di sicurezza, divulgare informazioni di sistema o potenzialmente informazioni sensibili, causare attacchi di tipo (DoS) o compromettere il sistema di un utente ignaro. Più nello specifico: 1) Un errore insito in Java Runtime Environment Virtual Machine può essere sfruttato da malintenzionati per caricare applet non autorizzate per leggere e scrivere files locali ed eseguire applicazioni locali. 2) Un errore insito in Java Management Extensions (JMX) management agent può essere sfruttato dal client JMX per compiere operazioni non autorizzate sul sistema in cui è in esecuzione JMX com la funzione di monitoraggio locale attivata. 3) Due errori insiti nel supporto di linguaggio scripting nel Java Runtime Environment può essere sfruttata da malintenzionati per caricare applets non autorizzate per accedere ad informazioni di altre applet e leggere e scrivere files locali ed eseguire applicazioni locali. 4) Altri errori in Java Web Start possono essere sfruttati da un'applicazione Java Web Start non autorizzata per causare attacchi di tipo buffer overflows. 5) Tre errori in Java Web Start possono essere sfruttati da applicazioni Java Web Start non autorizzate per creare o cancellare files arbitrari con i privilegi dell'utente in quel momento loggato e che ha avviato l'applicazione Java Web Start non autorizzata, o per determinare la locazione della cache Java Web Start. e molti altri, per maggiori info, fare riferimento a questa pagina Software vulnerabile: Java Web Start 1.x Java Web Start 5.x Java Web Start 6.x Sun Java JDK 1.5.x Sun Java JDK 1.6.x Sun Java JRE 1.3.x Sun Java JRE 1.4.x Sun Java JRE 1.5.x / 5.x Sun Java JRE 1.6.x / 6.x Sun Java SDK 1.3.x Sun Java SDK 1.4.x Soluzione: Aggiornare il software alla versione fixata per il problema. JDK and JRE 6 Update 7: http://java.sun.com/javase/downloads/index.jsp JDK and JRE 5.0 Update 16: http://java.sun.com/javase/downloads/index_jdk5.jsp SDK and JRE 1.4.2_18: http://java.sun.com/j2se/1.4.2/download.html SDK and JRE 1.3.1_23 (for customers with Solaris 8 and Vintage Support Offering support contracts): http://java.sun.com/j2se/1.3/download.html Falle scoperte da: 1) The vendor credits Fujitsu 4) The vendor credits: * John Heasman of NGSSoftware * An anonymous researcher, reporting via ZDI 5) Peter Csepely, reporting via ZDI 6) The vendor credits John Heasman of NGSSoftware 7) The vendor credits Gregory Fleischer 10) The vendor credits John Heasman of NGSSoftware Original Advisory: Sun: http://sunsolve.sun.com/search/docum...=1-66-238628-1 http://sunsolve.sun.com/search/docum...=1-66-238666-1 http://sunsolve.sun.com/search/docum...=1-66-238687-1 http://sunsolve.sun.com/search/docum...=1-66-238905-1 http://sunsolve.sun.com/search/docum...=1-66-238965-1 http://sunsolve.sun.com/search/docum...=1-66-238966-1 http://sunsolve.sun.com/search/docum...=1-66-238967-1 http://sunsolve.sun.com/search/docum...=1-66-238968-1 Fonte: Secunia __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. Ultima modifica di c.m.g : 11-07-2008 alle 23:18.

09-07-2008, 15:46	#2
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	raccomando immediatamente di aggiornare ragazzi, ci sono molte falle corrette in questa versione __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

09-07-2008, 15:53	#3
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Ulteriori info sul Sun Security Blog http://blogs.sun.com/security/ __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

10-07-2008, 12:39	#5
CARVASIN Senior Member Iscritto dal: Mar 2004 Città: Roma Messaggi: 10106	Per aggiornare bisogna prima disinstallare la vecchia versione? __________________ "Most people think that skydivers like to jump because we love the adrenaline rush. That's not at all. We love to jump because WE LOVE TO FLY!"

10-07-2008, 12:55	#7
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	ripreso da ossblog: http://www.ossblog.it/post/4246/scop...bilita-in-java __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

09-07-2008, 17:13	#4
sampei.nihira Senior Member Iscritto dal: Aug 2006 Messaggi: 4350	Grazie dell'avviso !! Non avevo mai fatto un aggiornamento JAVA con installato un HIPS e devo dire che è veramente uno scazz..... Anche l'aggiornamento Microsoft, se non è forse peggio !! La prossima volta mi sà che lo disattivo !!

14-07-2008, 08:42	#9
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	ripreso da punto informatico: http://punto-informatico.it/2355124/...er-Java/p.aspx __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

14-07-2008, 12:21	#10
Lazza84 Senior Member Iscritto dal: Aug 2006 Città: µTorrent Messaggi: 1634	Quindi l'aggiornamento nn passa sopra quelle vecchie ? Credevo di si Mi dite cosa devo levare (up 4 5 e 6 + v5 ?) __________________ Sono il Signor Wolf... Risolvo problemi. -Pulp Fiction- S.M.A.R.T. e HD in raid - www.inalto.org - Nikon Coolpix P7700 - Panasonic Lumix DMC-LF1

14-07-2008, 13:13	#12
Volumex Senior Member Iscritto dal: Jan 2004 Città: Sardegna Messaggi: 3532	io ho la versione 5 cosa devo scaricare ?

14-07-2008, 15:24	#15
Volumex Senior Member Iscritto dal: Jan 2004 Città: Sardegna Messaggi: 3532	ho sbagliato a scrivere la versione la mia è la versione 6 update 5 quale devo scaricare

04-11-2008, 16:37	#17
Nuz Senior Member Iscritto dal: Feb 2007 Città: Roma Messaggi: 2155	Disponibile la versione 6 update 10: http://java.sun.com/javase/downloads/index.jsp __________________ Kaspersky Virus Removal Tool \| Avira AntiVir Rescue System \| Threatfire in Italiano \| Norton User Account Control (beta) La tua prossima affermazione sarà un No? Rispondi con un Si o un No.

05-11-2008, 17:42	#19
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	in effetti il sistema di aggiornamento automatico dice che ho l'ultima versione anche se ho la 6 update 7. __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

26-11-2008, 22:31	#20
sampei.nihira Senior Member Iscritto dal: Aug 2006 Messaggi: 4350	Anche l'aggiornamento da sw, adesso, informa della presenza di una versione più recente. Chi ha ancora una versione obsoleta può fare la prova del 9 al link sotto: http://www.java-software.de/it/download/installed.jsp E naturalmente se la versione è old aggiornare. Occorre poi rimuovere da "installazioni applicazioni" la versione vecchia.

Strumenti
Mostra una versione stampabile Invia questa pagina per email