漏洞信息详情

Red Hat Java OpenJDK平台IcedTea安全策略绕过漏洞

• CNNVD编号：CNNVD-201101-295
• 危害等级： 高危
  
• CVE编号： CVE-2010-4351
• 漏洞类型： 权限许可和访问控制
• 发布时间： 2011-01-21
• 威胁类型： 远程
• 更新时间： 2011-01-21
• 厂        商： redhat
• 漏洞来源：

漏洞简介

Oracle OpenJDK是美国甲骨文（Oracle）公司的一个Java平台的开源参考实现，它包含有Java SE、Java语言、JDK和JRE。

基于Java OpenJDK平台的IcedTea(IcedTea.so)1.7.7之前的1.7版本，1.8.4之前的1.8版本，以及1.9.4之前的1.9版本中的JNLP SecurityManager从checkPermission方法返回而不是在某些状况下抛出异常。上下文攻击者可以通过创建ClassLoader类的实例对象，绕过预设的安全策略。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://blog.fuseyism.com/

参考网址

来源: bugzilla.redhat.com 链接:https://bugzilla.redhat.com/show_bug.cgi?id=663680 来源: www.zerodayinitiative.com 链接:http://www.zerodayinitiative.com/advisories/ZDI-11-014/ 来源: BID 名称: 45894 链接:http://www.securityfocus.com/bid/45894 来源: blog.fuseyism.com 链接:http://blog.fuseyism.com/index.php/2011/01/18/security-icedtea6-177-184-194-released/ 来源：NSFOCUS 名称：16328 链接：http://www.nsfocus.net/vulndb/16328

受影响实体

• Redhat Icedtea:1.9.3  
• Redhat Icedtea:1.9.1  
• Redhat Icedtea:1.9.2  
• Redhat Icedtea:1.8.3  
• Redhat Icedtea:1.9  

补丁

• icedtea6-1.8.4
• icedtea6-1.7.7
• icedtea6-1.9.4