Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-101

[Generic/JRE] Schwachstelle in der Sun Java Runtime Environment
(2001-02-23 23:07:37+00) Druckversion

Quelle: http://cert.uni-stuttgart.de/archive/win-sec-ssc/2001/02/msg00033.html

Verschiede Versionen der JRE (Java Runtime Environment) enthalten eine Sicherheitslücke, die dazu führen kann, daß Java-Applets Kommandos ausführen können, für die sie keine Berechtigung besitzen.

Betroffene Systeme

  • Windows Production und Sun/Solaris Reference Releases
    • SDK und JRE 1.2.2_005 oder früher
    • SDK und JRE 1.2.1_003 oder früher
    • JDK und JRE 1.1.8_003 oder früher
    • JDK und JRE 1.1.7B_005 oder früher
    • JDK und JRE 1.1.6_007 oder früher

  • Sun/Solaris Production Releases
    • SDK und JRE 1.2.2_05a oder früher
    • SDK und JRE 1.2.1
    • JDK und JRE 1.1.8_10 oder früher
    • JDK und JRE 1.1.7B
    • JDK und JRE 1.1.6

  • Linux Production Release
    • SDK and JRE 1.2.2_005 oder früher

  • Möglicherweise weitere Plattformen, soweit Sie auf o.g. Versionen basieren.

Nach Angaben von Sun (Sun Security Bulletin #00201), scheinen die JRE des Netscape Navigator und des Microsoft Internet Explorer nicht betroffen zu sein. Nähere Angaben hierzu sind dem RUS-CERT zu diesem Zeitpunkt nicht bekannt.

Typ der Verwundbarkeit
design flaw: unauthorized permission grant

Beschreibung
In den oben genannten Versionen der JRE existiert eine Schwachstelle, die dazu führen kann, daß ein Java-Applet beliebige Kommandos ausführen kann, ohne dafür die nötigen Rechte zu besitzen.

Ein Java-Applet besitzt voreingestellt bei der Ausführung durch die JRE keine Berechtigungen zum Aufruf von Kommandos. Die Berechtigungen müssen explizit vergeben werden. Im Java Development Kit 1.1.x (JDK 1.1.x, auch in den Browsern) muß das Applet darüberhinaus signiert sein, damit es Ausführungsberechtigungen erhalten kann.

Die beschriebene Sicherheitslücke kann dazu ausgenutzt werden, daß ein Applet die Berechtigungen zum Aufruf beliebiger Kommandos erhält, wenn es die Berechtigung zur Ausführung mindestens eines Kommandos erhalten hat. Wurden dagegen keine Berechtigungen erteilt, ist die Schwachstelle nicht ausnutzbar.

Gefahrenpotential
Unter den zur Ausnutzung der Schwachstelle gegebenen Voraussetzungen:
hoch

Gegenmaßnahmen
Sun hat Patches zur Behebung deser Sicherheitslücke zur Verfügung gestellt:

Weitere Information zu diesem Thema

(og)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.