Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-101

[Generic/JRE] Schwachstelle in der Sun Java Runtime Environment
(2001-02-23 23:07:37+00)

Quelle: http://cert.uni-stuttgart.de/archive/win-sec-ssc/2001/02/msg00033.html

Verschiede Versionen der JRE (Java Runtime Environment) enthalten eine Sicherheitslücke, die dazu führen kann, daß Java-Applets Kommandos ausführen können, für die sie keine Berechtigung besitzen.

Betroffene Systeme

Nach Angaben von Sun (Sun Security Bulletin #00201), scheinen die JRE des Netscape Navigator und des Microsoft Internet Explorer nicht betroffen zu sein. Nähere Angaben hierzu sind dem RUS-CERT zu diesem Zeitpunkt nicht bekannt.

Typ der Verwundbarkeit
design flaw: unauthorized permission grant

Beschreibung
In den oben genannten Versionen der JRE existiert eine Schwachstelle, die dazu führen kann, daß ein Java-Applet beliebige Kommandos ausführen kann, ohne dafür die nötigen Rechte zu besitzen.

Ein Java-Applet besitzt voreingestellt bei der Ausführung durch die JRE keine Berechtigungen zum Aufruf von Kommandos. Die Berechtigungen müssen explizit vergeben werden. Im Java Development Kit 1.1.x (JDK 1.1.x, auch in den Browsern) muß das Applet darüberhinaus signiert sein, damit es Ausführungsberechtigungen erhalten kann.

Die beschriebene Sicherheitslücke kann dazu ausgenutzt werden, daß ein Applet die Berechtigungen zum Aufruf beliebiger Kommandos erhält, wenn es die Berechtigung zur Ausführung mindestens eines Kommandos erhalten hat. Wurden dagegen keine Berechtigungen erteilt, ist die Schwachstelle nicht ausnutzbar.

Gefahrenpotential
Unter den zur Ausnutzung der Schwachstelle gegebenen Voraussetzungen:
hoch

Gegenmaßnahmen
Sun hat Patches zur Behebung deser Sicherheitslücke zur Verfügung gestellt:

Weitere Information zu diesem Thema

(og)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=101