Oracle Java 7 JmxMBeanServer类远程代码执行漏洞

发布日期:2013-01-08
更新日期:2013-01-12

受影响系统:
Oracle Java 7 Update 10
 Oracle Java
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 57246
 CVE ID: CVE-2013-0422
 
Oracle Java Runtime Environment (JRE)是一款为JAVA应用程序提供可靠运行环境的解决方案。
 
Oracle JRE7环境中的jmx.mbeanserver.JmxMBeanServer类存在沙盒绕过漏洞使得远程攻击者可以绕过java securityManager的检查远程执行任意java代码控制用户系统。
 
目前已知受影响环境为最新版本Oracle JRE7 update 10及其更早版本。经测试Oracle Java 6不受影响。
 

<*来源:Kafeine
 
  链接:
        ?m=1
       
       
       
        ?act=alert&do=view&aid=131
 *>

建议:
--------------------------------------------------------------------------------
临时解决方法:
 
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
 
* 在浏览器中暂时禁用Java
 
  参考:
 
对于Windows用户:
 
1) Firefox
 
  工具->附加组件(Ctrl-Shift-A)->插件,将所有带有Java字样的禁用,重启Firefox。
 
  安装NoScript扩展,NoScript选项->嵌入的对象->禁止Java
 
2) Chrome
 
  点击右上角的扳手->设置->点击最下面的"显示高级设置"->隐私设置->内容设置->插件
  ->停用单个插件->Java->停用
 
3) IE
 
  如果您已经升级到JRE 7 update 10可以利用它新增的一个安全特性来禁用JAVA。
  打开控制面板,搜索Java,在java控制面板中选择"安全",然后清空"Enable Java
  content in the browser"的复选框。
 
 
  对于JRE 7 update 10以下的版本:
 
  控制面板->Java->Java->查看->用户->禁用所有版本的JRE(Java运行时环境)
 
  控制面板->Java->Java->查看->系统->禁用所有版本的JRE(Java运行时环境)
 
  但是这一方法只适用于XP、2003,不适用于Vista、Win7等高版本的Windows,你无法清
  空相应的启用复选框。此时需要使用regedit修改注册表。
 
  这个注册表键值位于:
 --------------------------------------------------------------------------
 Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\JavaSoft\Java Plug-in]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\JavaSoft\Java Plug-in\<版本号>]
 "UseJava2IExplorer"=dword:00000001
 --------------------------------------------------------------------------
  所有版本的Java都有一个UseJava2IExplorer,其值缺省为1,修改成0即可禁用Java。
 

如果是64位系统也安装了32位Java的话,相关注册表键值位于:
 
--------------------------------------------------------------------------
 Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\JavaSoft\Java Plug-in]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\JavaSoft\Java Plug-in\<版本号>]
 "UseJava2IExplorer"=dword:00000001
 --------------------------------------------------------------------------
 
厂商补丁:
 
Oracle
 ------
 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
 

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/wyzpwj.html