Oracle 2010年10月更新修复多个Java安全漏洞

发布日期:2010-10-12
更新日期:2010-10-21

受影响系统:
Sun JDK 1.6.x
Sun JDK 1.5.x
Sun JRE 1.6.x
Sun JRE 1.5.x
Sun JRE 1.4.x
Sun SDK 1.4.x
不受影响系统:
Sun JDK 1.6.0_22
Sun JDK 1.5.0_26
Sun JRE 1.6.0_22
Sun JRE 1.5.0_26
Sun JRE 1.4.2_28
Sun SDK 1.4.2_28
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 43979,43971,43965,44017,44016,44014,44013,44012,44011,44009,43999,43994,43992,43988,43985,44040,44038,44035,44032,44030,44028,44027,44026,44024,44023,44021,44020
CVE ID: CVE-2009-3555,CVE-2010-1321,CVE-2010-3541,CVE-2010-3548,CVE-2010-3549,CVE-2010-3550,CVE-2010-3551,CVE-2010-3552,CVE-2010-3553,CVE-2010-3554,CVE-2010-3555,CVE-2010-3556,CVE-2010-3557,CVE-2010-3558,CVE-2010-3559,CVE-2010-3560,CVE-2010-3561,CVE-2010-3562,CVE-2010-3563,CVE-2010-3565,CVE-2010-3566,CVE-2010-3567,CVE-2010-3568,CVE-2010-3569,CVE-2010-3570,CVE-2010-3571,CVE-2010-3572,CVE-2010-3573,CVE-2010-3574

Java运行时环境(JRE)为JAVA应用程序提供可靠的运行环境。

Sun Java中存在多个安全漏洞,用户受骗访问了恶意网页就会导致拒绝服务、泄露敏感信息、操控某些数据、绕过安全限制或完全入侵用户系统。

1) 2D组件中的漏洞可能允许执行任意代码。

2) JPEGImageWriter.writeImage()函数在处理JPEG图形维度时的整数溢出可能导致执行任意代码。

3) 颜色配置文件解析器在处理ICC配置文件设备信息标签和ICC配置文件Unicode描述标签结构时的整数溢出可能导致执行任意代码。

4) CORBA、JRE、Java Web Start、Sound、Swing、Deployment Toolkit、JSSE TLS/SSL、Networking、JNDI等组件中的错误可能允许执行任意代码或读取某些数据。

5) com.sun.jnlp.BasicServiceImpl类检索安全策略时的错误可能导致删除沙盒限制。

6) JP2IEXP.dll在拷贝docbase applet参数时存在栈溢出。

7) HeadspaceSoundbank.nGetName()函数在解析BANK记录时的符号错误可能导致缓冲区溢出。

8) ActiveX插件没有正确的初始化窗口句柄,可能导致执行任意代码。

9) Kerberos GSS-API中的空指针应用可能导致拒绝服务。

10) Java运行时环境中的错误可能允许不可信任的Applet绕过同源策略访问其他域的Cookie。

<*来源:Oracle
 
  链接:
        ?l=full-disclosure&m=128692190618582&q=p3
        ?l=full-disclosure&m=128692201218699&w=2
        ?l=full-disclosure&m=128692214618893&q=p3
        ?l=full-disclosure&m=128692224418972&q=p3
        ?l=full-disclosure&m=128692238519137&q=p3
        ?l=bugtraq&m=128750013928754&w=2
        https://www.redhat.com/support/errata/RHSA-2010-0770.html
       
        https://www.redhat.com/support/errata/RHSA-2010-0768.html
       
*>

建议:
--------------------------------------------------------------------------------
厂商补丁:

Oracle
------
Oracle已经为此发布了一个安全公告(javacpuoct2010)以及相应补丁:
javacpuoct2010:Oracle Java SE and Java for Business Critical Patch Update Advisory - October 2010
链接:

RedHat
------
RedHat已经为此发布了一个安全公告(RHSA-2010:0768-01)以及相应补丁:
RHSA-2010:0768-01:Important: java-1.6.0-openjdk security and bug fix update
链接:https://www.redhat.com/support/errata/RHSA-2010-0768.html

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/wwsjxp.html