mardi 12 avril 2011

Oracle Konečně zprávy Java 6 Update 24

Kritické Java zranitelnosti byly objeveny na počátku února, které ovlivnily Java Runtime Environment a Java Development Kit. Postižených verze byly JRE 6 Update 23 a starší na všech podporovaných operačních systémech. Namísto uvolnění bezpečnostní opravy hned, Oracle rozhodl uvolnit nástroj pro příkazovou řádku první patch zranitelnosti (viz [Java aktualizace řeší kritické bezpečnostní chyby: http://www.astuces.net/2011/02/09/java- update-adresy-kritický-bezpečnostní-zranitelnosti /]). Současně bylo připomenuto, že "je nástroj FPUpdater nejsou určeny pro použití v systémech řízených prostřednictvím auto-update, protože to zakáže budoucí auto-updates", který odešel uživatelům možnosti ponechat jejich systém zranitelný, nebo, a záplatování lámání automatické aktualizace.

Společnost Oracle dnes vydala kritickou aktualizaci patch Java 6 Update 24 na veřejnosti. Tato aktualizace opravuje několik kritických bezpečnostních chyb včetně dříve objevené zranitelnosti, který způsobuje zasekne při analýze řetězce jako "2.2250738585072012e-308" na binární čísla s plovoucí desetinnou čárkou.

[Matice rizik: http://www.oracle.com/technetwork/topics/security/javacpufeb2011-304611.html # AppendixJAVA] ukazuje seznam všech 21opravy zabezpečení zahrnuté v aktualizaci s informacemi o verzích Javy postižených, přístup k vektoru a, pokud jsou vzdáleně zneužitelné.

Z těchto 21 zranitelností, 13 ovlivnit Java klienta nasazení. 12 z těchto 13 zranitelností může být využíván přes nedůvěryhodné aplikace Java Web Start a nedůvěryhodné Java applety, které běží na pískovišti Java s omezenými právy. Jeden z těchto 13 zranitelností může být využíván spuštěním samostatnou aplikaci.

Kromě toho, jeden z klientů zranitelnosti ovlivňuje Java Update, Windows-specifické komponenty.

3 z 21 zranitelností vliv na klienta a serveru nasazení. Tyto chyby mohou být zneužity přes nedůvěryhodné aplikace Java Web Start a nedůvěryhodné Java applety, stejně jako být zneužita škodlivým dodávat údaje API v určeném komponenty, jako například prostřednictvím webové služby.

3 chyby ovlivnit Java server nasazení pouze. Tyto chyby mohou být zneužity dodáním škodlivý údajů API v určeném komponent Java. Všimněte si, že jeden z těchto zranitelností (CVE-2010-4476), byl předmětem Výstraha zabezpečení vydala na únoru 8th.

Konečně, jeden z těchto zranitelností je specifický pro Java DB, součástí Java JDK, ale nezahrnuta v Java Runtime Environment (JRE).

([Přes: http://blogs.oracle.com/security/2011/02/february_2011_java_se_and_java.html])

Správci systému a uživatelé, kteří mají nainstalovanou aplikaci Java, a to buď ve formě Java Runtime Environment (JRE) nebo Java Development Kit (JDK), by měl aktualizovat software [co nejdříve: http://www.java.com/en / download / manual.jsp] na ochranu svých systémů před možnými využije.

Uživatelé, kteří použili ruční příkazového řádku patch třeba odinstalovat Java, než budou moci instalovat novou aktualizovanou verzi.

Aucun commentaire:

Enregistrer un commentaire