多个厂商Java虚拟机会话劫持漏洞(MS02-013)

admin
admin
admin
0
文章
0
评论
2022-07-22 08:38:05 CNNVD漏洞 来源:ZONE.CI 全球网 0 阅读模式

漏洞信息详情

多个厂商Java虚拟机会话劫持漏洞(MS02-013)

  • CNNVD编号:CNNVD-200203-035
  • 危害等级: 低危
  • CVE编号: CVE-2002-0058
  • 漏洞类型: 设计错误
  • 发布时间: 2002-03-15
  • 威胁类型: 远程
  • 更新时间: 2005-10-20
  • 厂        商: sun
  • 漏洞来源: Microsoft Security...

漏洞简介

一些厂商(包括Sun、Microsoft)都实现了Java虚拟机,它可以允许一些来自不可信资源的代码(例如Java CMS.zone.ci/e/tags/htag.php?tag=Apple target=_blank class=infotextkey>Applet)在虚拟机中安全的执行。 一些厂商的虚拟机实现上存在漏洞,当用户通过HTTP代理进行网络访问时,恶意的Java CMS.zone.ci/e/tags/htag.php?tag=Apple target=_blank class=infotextkey>Applet可以劫持用户的会话。 在用户用IE或者其他Web浏览器通过代理服务器进行浏览的情况下,网站上恶意的Java脚本可能利用这个漏洞,在不知不觉中把用户通过浏览器浏览的网络流量转发到攻击者控制的主机上。随后攻击者就能发送恶意回复,使之看起来象是来自原目的地,也可以丢弃对话信息,导致拒绝服务。另外,攻击者还能捕捉和保存用户的对话信息。这样他就能执行重播攻击或搜寻诸如用户名和口令等机密信息。 目前已知Microsoft和Sun的虚拟机实现存在此安全漏洞。Netscape 6.1, 6.0.1, 和6.0由于带有有问题的Java虚拟机,因此受到此问题影响。Microsoft VM build 3802以及以前版本也受到此问题影响。

漏洞公告

临时解决方法: 如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:

* 在IE里禁止Microsoft VM的运行:

在 工具->Internet选项->安全->Internet->自定义级别->Microsoft VM 设置禁用。 厂商补丁: Microsoft --------- Microsoft已经为此发布了一个安全公告(MS02-013)以及相应补丁:

MS02-013:Java CMS.zone.ci/e/tags/htag.php?tag=Apple target=_blank class=infotextkey>Applet Can Redirect Browser Traffic

链接: http://www.microsoft.com/technet/security/bulletin/MS02-013.asp

补丁下载:

您应当升级到Microsoft VM bulid 3805或者更新版本:

http://www.microsoft.com/java/vm/dl_vm40.htm Sun --- Sun已经为此发布了一个安全公告(Sun-00216)以及相应补丁:

Sun-00216:HttpURLConnection

链接: http://sunsolve.sun.com/pub-cgi/retrieve.pl?doctype=coll&doc=secbull/216&type=0&nav=sec.sba

补丁下载:

Windows Production Releases

SDK and JRE 1.4 http://java.sun.com/j2se/1.4/

SDK and JRE 1.3.1_02 http://java.sun.com/j2se/1.3/

SDK and JRE 1.2.2_011 http://java.sun.com/j2se/1.2/

JDK and JRE 1.1.8_009 http://java.sun.com/products/jdk/1.1/download-jdk-windows.HTML

Solaris OE Reference Releases

SDK and JRE 1.2.2_011 http://java.sun.com/j2se/1.2/

JDK and JRE 1.1.8_009 http://java.sun.com/products/jdk/1.1/download-jdk-solaris.HTML

Solaris OE Production Releases

SDK and JRE 1.4 http://java.sun.com/j2se/1.4/

SDK and JRE 1.3.1_02 http://java.sun.com/j2se/1.3/

SDK and JRE 1.2.2_11 http://java.sun.com/j2se/1.2/

JDK and JRE 1.1.8_15 http://java.sun.com/products/jdk/1.1/download-jdk-solaris.HTML

Linux Production Releases

SDK and JRE 1.4 http://java.sun.com/j2se/1.4/

SDK and JRE 1.3.1_02 http://java.sun.com/j2se/1.3/

SDK and JRE 1.2.2_011 http://java.sun.com/j2se/1.2/

参考网址

来源: MS 名称: MS02-013 链接:http://www.microsoft.com/technet/security/bulletin/ms02-013.asp 来源: BUGTRAQ 名称: 20020305 Java HTTP proxy vulnerability 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=101534535304228&w=2 来源: SUN 名称: 00216 链接:http://sunsolve.sun.com/pub-cgi/retrieve.pl?doctype=coll&doc=secbull/216

受影响实体

  • Sun Jdk:1.1.8:Update7  
  • Sun Jdk:1.1.8:Update13  

补丁

    暂无

weinxin
特别声明
本站(ZONE.CI)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
咨询加Q:999999999
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 安全领域涉猎者-乌云独行地带
获取本源码
售前咨询加Q:120433200
站媒体网仿《知更鸟》模板
获取本源码 zmt6.com
评论:0   参与:  0