漏洞信息详情
Red Hat Java OpenJDK平台IcedTea安全策略绕过漏洞
- CNNVD编号:CNNVD-201101-295
- 危害等级: 高危
- CVE编号: CVE-2010-4351
- 漏洞类型: 权限许可和访问控制
- 发布时间: 2011-01-21
- 威胁类型: 远程
- 更新时间: 2011-01-21
- 厂 商: redhat
- 漏洞来源:
漏洞简介
Oracle OpenJDK是美国甲骨文(Oracle)公司的一个Java平台的开源参考实现,它包含有Java SE、Java语言、JDK和JRE。
基于Java OpenJDK平台的IcedTea(IcedTea.so)1.7.7之前的1.7版本,1.8.4之前的1.8版本,以及1.9.4之前的1.9版本中的JNLP SecurityManager从checkPermission方法返回而不是在某些状况下抛出异常。上下文攻击者可以通过创建ClassLoader类的实例对象,绕过预设的安全策略。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://blog.fuseyism.com/
参考网址
来源: bugzilla.redhat.com 链接:https://bugzilla.redhat.com/show_bug.cgi?id=663680 来源: www.zerodayinitiative.com 链接:http://www.zerodayinitiative.com/advisories/ZDI-11-014/ 来源: BID 名称: 45894 链接:http://www.securityfocus.com/bid/45894 来源: blog.fuseyism.com 链接:http://blog.fuseyism.com/index.php/2011/01/18/security-icedtea6-177-184-194-released/ 来源:NSFOCUS 名称:16328 链接:http://www.nsfocus.net/vulndb/16328
受影响实体
- Redhat Icedtea:1.9.3
- Redhat Icedtea:1.9.1
- Redhat Icedtea:1.9.2
- Redhat Icedtea:1.8.3
- Redhat Icedtea:1.9
补丁
- icedtea6-1.8.4
- icedtea6-1.7.7
- icedtea6-1.9.4
评论