Vulnerability Bulletins |
Vulnerabilidad en Java Plugin de Sun |
|
Vulnerability classification |
|
Property | Value |
Confidence level | Oficial |
Impact | Obtener acceso |
Dificulty | Avanzado |
Required attacker level | Acceso remoto sin cuenta a un servicio exotico |
System information |
|
Property | Value |
Affected manufacturer | Comercial Software |
Affected software |
Java 2 Standard Edition <= 1.4.2_04 HP-UX B.11.00 HP-UX B.11.11 HP-UX B.11.22 HP-UX B.11.23 IBM Lotus Notes < 7.0.2 |
Description |
|
Se ha detectado una vulnerabilidad de diseño en Java Plug-in de SUN. Existen varios paquetes en Java Virtual Machine (VM) utilizados internamente por dicha aplicación. Las restricciones de seguridad de los Applets evitan el acceso a los paquetes. Cualquier intento de acceso genera la excepción del tipo 'AccessControlException', a no ser que el Applet esté firmado y el usuario confíe en la entidad certificadora. El problema reside en el control de acceso del intercambio de datos de Java a Javascript en los clientes web que utilicen la tecnología Java Plug-in. La vulnerabilidad permite al código Javascript cargar clases no seguras, lo que no debería ser posible desde un Applet de Java. La explotación remota de Java Plug-in de Sun Microsystems Inc.'s podría permitir a un atacante saltarse el sandbox de Java y las restricciones de seguridad de los Applets de Java. |
|
Solution |
|
Actualización de software J2SE Instale la versión 1.4.2_06 o posterior http://java.sun.com/j2se/1.4.2/download.html HP Java 1.4.X.XX: Actualice a Java 1.4.2.06.00 o posterior http://www.hp.com/go/java Java 1.3.X.XX: Actualice a Java 1.3.1.14.00 o posterior http://www.hp.com/go/java Java 5.0.00.00, actualizar a Java 5.0.01.00 o posterior: Java15JDK (JDK 5.0) http://www.hp.com/go/java Java15JDKadd (JDK 5.0 -AA support) http://www.hp.com/go/java Java15JRE (JRE 5.0) http://www.hp.com/go/java Java15JREadd (JRE 5.0 -AA support) http://www.hp.com/go/java SuSE Linux Distribuciones basadas en SuSE Linux - Actualizar mediante YaST Online Update Apple Mac OS X >=10.3.4 IBM IBM Lotus Notes 7.0.2 |
|
Standar resources |
|
Property | Value |
CVE | CAN-2004-1029 |
BID | |
Other resources |
|
iDEFENSE Security Advisory 11.22.04 www.idefense.com/application/poi/display?id=158&type=vulnerabilities Hewlett-Packard security advisory HPSBUX01100 (SSRT4871) http://www5.itrc.hp.com/service/cki/docDisplay.do?docId=HPSBUX01100 SUSE Security Summary Report SUSE-SR:2005:002 http://www.novell.com/linux/security/advisories/2005_02_sr.html SUSE Security Summary Report SUSE-SR:2005:003 http://www.novell.com/linux/security/advisories/2005_03_sr.html Apple Security Advisory 2005-002 http://docs.info.apple.com/article.html?artnum=300980 HP Security Advisory HPSBUX01214 http://www4.itrc.hp.com/service/cki/docDisplay.do?docId=HPSBUX01214 IBM Security Advisory http://www-1.ibm.com/support/docview.wss?rs=463&uid=swg21257249&ca=wplcsecurity |
Version history |
||
Version | Comments | Date |
1.0 | Aviso emitido | 2004-11-23 |
1.1 | Aviso emitido por HP (SSRT4871) | 2004-12-03 |
1.2 | Aviso emitido por SuSE (SUSE-SR:2005:002) | 2005-01-28 |
1.3 | Aviso emitido por SUSE (SUSE-SR:2005:003) | 2005-02-07 |
1.4 | Aviso emitido por Apple (2005-002) | 2005-02-23 |
1.5 | Aviso emitido por HP (HPSBUX01214) | 2005-08-31 |
1.6 | Aviso emitido por IBM | 2008-02-21 |