漏洞信息详情
多个厂商Java虚拟机会话劫持漏洞(MS02-013)
- CNNVD编号:CNNVD-200203-035
- 危害等级: 低危
- CVE编号: CVE-2002-0058
- 漏洞类型: 设计错误
- 发布时间: 2002-03-15
- 威胁类型: 远程
- 更新时间: 2005-10-20
- 厂 商: sun
- 漏洞来源: Microsoft Security...
漏洞简介
一些厂商(包括Sun、Microsoft)都实现了Java虚拟机,它可以允许一些来自不可信资源的代码(例如Java CMS.zone.ci/e/tags/htag.php?tag=Apple target=_blank class=infotextkey>Applet)在虚拟机中安全的执行。 一些厂商的虚拟机实现上存在漏洞,当用户通过HTTP代理进行网络访问时,恶意的Java CMS.zone.ci/e/tags/htag.php?tag=Apple target=_blank class=infotextkey>Applet可以劫持用户的会话。 在用户用IE或者其他Web浏览器通过代理服务器进行浏览的情况下,网站上恶意的Java脚本可能利用这个漏洞,在不知不觉中把用户通过浏览器浏览的网络流量转发到攻击者控制的主机上。随后攻击者就能发送恶意回复,使之看起来象是来自原目的地,也可以丢弃对话信息,导致拒绝服务。另外,攻击者还能捕捉和保存用户的对话信息。这样他就能执行重播攻击或搜寻诸如用户名和口令等机密信息。 目前已知Microsoft和Sun的虚拟机实现存在此安全漏洞。Netscape 6.1, 6.0.1, 和6.0由于带有有问题的Java虚拟机,因此受到此问题影响。Microsoft VM build 3802以及以前版本也受到此问题影响。
漏洞公告
临时解决方法: 如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:
* 在IE里禁止Microsoft VM的运行:
在 工具->Internet选项->安全->Internet->自定义级别->Microsoft VM 设置禁用。 厂商补丁: Microsoft --------- Microsoft已经为此发布了一个安全公告(MS02-013)以及相应补丁:
MS02-013:Java CMS.zone.ci/e/tags/htag.php?tag=Apple target=_blank class=infotextkey>Applet Can Redirect Browser Traffic
链接: http://www.microsoft.com/technet/security/bulletin/MS02-013.asp
补丁下载:
您应当升级到Microsoft VM bulid 3805或者更新版本:
http://www.microsoft.com/java/vm/dl_vm40.htm Sun --- Sun已经为此发布了一个安全公告(Sun-00216)以及相应补丁:
Sun-00216:HttpURLConnection
链接: http://sunsolve.sun.com/pub-cgi/retrieve.pl?doctype=coll&doc=secbull/216&type=0&nav=sec.sba
补丁下载:
Windows Production Releases
SDK and JRE 1.4 http://java.sun.com/j2se/1.4/
SDK and JRE 1.3.1_02 http://java.sun.com/j2se/1.3/
SDK and JRE 1.2.2_011 http://java.sun.com/j2se/1.2/
JDK and JRE 1.1.8_009 http://java.sun.com/products/jdk/1.1/download-jdk-windows.HTML
Solaris OE Reference Releases
SDK and JRE 1.2.2_011 http://java.sun.com/j2se/1.2/
JDK and JRE 1.1.8_009 http://java.sun.com/products/jdk/1.1/download-jdk-solaris.HTML
Solaris OE Production Releases
SDK and JRE 1.4 http://java.sun.com/j2se/1.4/
SDK and JRE 1.3.1_02 http://java.sun.com/j2se/1.3/
SDK and JRE 1.2.2_11 http://java.sun.com/j2se/1.2/
JDK and JRE 1.1.8_15 http://java.sun.com/products/jdk/1.1/download-jdk-solaris.HTML
Linux Production Releases
SDK and JRE 1.4 http://java.sun.com/j2se/1.4/
SDK and JRE 1.3.1_02 http://java.sun.com/j2se/1.3/
SDK and JRE 1.2.2_011 http://java.sun.com/j2se/1.2/
参考网址
来源: MS 名称: MS02-013 链接:http://www.microsoft.com/technet/security/bulletin/ms02-013.asp 来源: BUGTRAQ 名称: 20020305 Java HTTP proxy vulnerability 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=101534535304228&w=2 来源: SUN 名称: 00216 链接:http://sunsolve.sun.com/pub-cgi/retrieve.pl?doctype=coll&doc=secbull/216
受影响实体
- Sun Jdk:1.1.8:Update7
- Sun Jdk:1.1.8:Update13
补丁
暂无
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论