Sun Java Plugin任意包访问漏洞

漏洞信息详情

Sun Java Plugin任意包访问漏洞

• CNNVD编号：CNNVD-200503-002
• 危害等级： 超危
  
  
• CVE编号：
  CVE-2004-1029
  
• 漏洞类型：
  
  
  权限许可和访问控制
  
• 发布时间：
  
  2004-03-09
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2009-03-04
  
• 厂        商：
  
  sun
• 漏洞来源：
  Jouko Pynnonen jo…

Java Plug-in技术是Java 2实时环境的一部分，Sun的Java Runtime Environment (JRE)为JAVA应用程序提供可靠的运行环境。

Java Plug-in技术设计存在问题，远程攻击者可以利用这个漏洞绕过Java\’\’沙盒\’\’和所有限制访问受限资源和系统。

Java虚拟机中包含多个私有Java包并被内部调用，默认安全机制限制Applet访问这些包，任何企图访问这些包，会导致\’\’AccessControlException\’\’的异常，除非这个Applet被签名并被用户信任。

问题存在于使用Sun java插件技术的WEB浏览器，针对Javascript数据交换对Java的访问控制缺少正确的限制，漏洞允许Javascript代码装载不安全的类。成功利用此漏洞允许攻击者执行恶意类，目标用户被执行恶意类后，可能导致恶意类在系统上执行访问，下载上传执行任意文件等操作。

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

http://java.sun.com/j2se/1.4.2/download.html

来源:US-CERT

名称: VU#760344

链接:http://www.kb.cert.org/vuls/id/760344

来源: BID

名称: 12317

链接:http://www.securityfocus.com/bid/12317

来源: VUPEN

名称: ADV-2008-0599

链接:http://www.frsirt.com/english/advisories/2008/0599

来源: SUNALERT

名称: 57591

链接:http://sunsolve.sun.com/search/document.do?assetkey=1-26-57591-1

来源: SUNALERT

名称: 101523

链接:http://sunsolve.sun.com/search/document.do?assetkey=1-26-101523-1

来源: XF

名称: sdk-jre-applet-restriction-bypass(18188)

链接:http://xforce.iss.net/xforce/xfdb/18188

来源: IDEFENSE

名称: 20041122 Sun Java Plugin Arbitrary Package Access Vulnerability

链接:http://www.idefense.com/application/poi/display?id=158&type=vulnerabilities

来源: IDEFENSE

名称: 20041122 Sun Java Plugin Arbitrary Package Access Vulnerability

链接:http://www.idefense.com/application/poi/display?id=158&type=vulnerabilities

来源: www-1.ibm.com

链接:http://www-1.ibm.com/support/docview.wss?uid=swg21257249

来源: SREASON

名称: 61

链接:http://securityreason.com/securityalert/61

来源: SECUNIA

名称: 29035

链接:http://secunia.com/advisories/29035

来源: SECUNIA

名称: 13271

链接:http://secunia.com/advisories/13271

来源: rpmfind.net

链接:http://rpmfind.net/linux/RPM/suse/updates/9.3/i386/rpm/i586/java-1_4_2-sun-src-1.4.2.08-0.1.i586.html

来源: OVAL

名称: oval:org.mitre.oval:def:5674

链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:5674

来源: APPLE

名称: APPLE-SA-2005-02-22

链接:http://lists.apple.com/archives/security-announce/2005/Feb/msg00000.html

来源: MISC

链接:http://jouko.iki.fi/adv/javaplugin.html