LINUX.ORG.RU

Критическая уязвимость в JRE.


0

0

Переполнение буффера в коде обработки изображений Java Runtime Environment может позволить недоверенному апплету (или приложению) повысить свои привилегии. В частности, эта уязвимость может позволить приложению читать/писать в локальные файлы (на файловой системе машины, где запущенна JRE) и запускать приложения вне JRE.

Фирма Sun подтвердила наличие уязвимости. Заплатка, исправляющая данную уязвимость уже выпущена, и доступна на сайте Sun.

>>> Подробности

★★★★★

Проверено: Shaman007 ()

Re: Критическая уязвимость в JRE.

У меня после обновления на jdk6u2 стал сегфолтиться Thunderbird. Откатился обратно на 6u1.

Deleted ()

Re: Критическая уязвимость в JRE.

респект сану от всех анонимусав, за оперативность

anonymous ()

Re: Критическая уязвимость в JRE.

Всегда знал что жаба говно enterprise класса.

anonymous ()
Ответ на: Re: Критическая уязвимость в JRE. от JB

Re: Критическая уязвимость в JRE.

А фиг знает :) По-умолчанию поддержка включена была. Отключил(security.enable_java=false), всё стало работать.

Deleted ()
Ответ на: Re: Критическая уязвимость в JRE. от anonymous

Re: Критическая уязвимость в JRE.

>Всегда знал что жаба говно enterprise класса.

Но-но! Шалишь, парниша!

Всегда знал, что в словаре анонимуса кроме "Всегда знал что жаба говно enterprise класса." больше других слов нет, как в словаре Эллочки

anonymous ()
Ответ на: Re: Критическая уязвимость в JRE. от anonymous

Re: Критическая уязвимость в JRE.

>Всегда знал, что в словаре ..

В лужу пердишь, бздунишка видать или зассанец.. Слов то у меня хватает, но боюсь что они не для столь достойного сайта.

anonymous ()

Re: Критическая уязвимость в JRE.

Опять? Не так давно вроде прошлая была. Ява - зло.

ChALkeR ★★★★★ ()

Re: Критическая уязвимость в JRE.

У санок всегда во всех продуктах торчали дыры enterprise-класса

сначала дырявая JVM со всеми ее кривыми по умолчанию policy,

потом досящая бага в java.util.zip,

целая эпопея с халявным рутом в телнетд в соляре,

еще кривая сериализация, также оканчивающаяся досом,

ну и в добавок до сих пор непофикшен механизм, позволяющий классу элевейтнуться до невообразимых высот и запустить вне jvm то, что лежит в стеке (эта тема давно обсосана не то что во phreak, даже в хакере статья висит, но санки упорно отмалчиваются - типа это не бага, а фича)

но пипл хавает - энтерпрайз же все-таки...

MaratIK ()

Re: Критическая уязвимость в JRE.

Это хорошо что у нас 1.5.0_12 на сервере скриншоты обрабатывает :-)

maxcom ★★★★★ ()
Ответ на: Re: Критическая уязвимость в JRE. от MaratIK

Re: Критическая уязвимость в JRE.

>ну и в добавок до сих пор непофикшен механизм, позволяющий классу элевейтнуться до невообразимых высот и запустить вне jvm то, что лежит в стеке (эта тема давно обсосана не то что во phreak, даже в хакере статья висит, но санки упорно отмалчиваются - типа это не бага, а фича)

Ну на своем компе ты можешь запустить в стеке все что угодно, а как эта фича поможет тебе поднять твои привилегии на сайте adobe.com? Или в сети злобной FBI, CIA? Как ты собираешься в их JVM загрузить свой класс? Я правда не понимаю. "Я - новый злобный вирус. Загрузите меня через java.exe, пожалуйста" Так чтоли?

anonymous ()

Re: Критическая уязвимость в JRE.

Ну наконец-то! А то все ПХП и кернел ошибки. Такие ошибки просто бальзам на душу анонимусам :)

dimag ()

Re: Критическая уязвимость в JRE.

Беспокоиться имеет смысл лишь тем, у кого стоят JRE 1.3 и 1.4. Потому как 1.3.1_20 и 1.4.2_14 -- действительно последние версии на своих ветках.

Тем же, у кого стоят последние версии 1.5/1.6, волноваться нечего.

Bass ★★★★ ()
Ответ на: Re: Критическая уязвимость в JRE. от anonymous

Re: Критическая уязвимость в JRE.

> "Я - новый злобный вирус. Загрузите меня через java.exe, пожалуйста" Так чтоли?

угу, называется жабохостинг

MaratIK ()

Re: Критическая уязвимость в JRE.

А жабберы ссут кипятком восхваляя свою жабу... А тут такое...

anonymous ()
Ответ на: Re: Критическая уязвимость в JRE. от MaratIK

Re: Критическая уязвимость в JRE.

> но пипл хавает - энтерпрайз же все-таки...

И ты хаваешь ежедневно. В огромных количествах. Еслиб не этот ентерпрайз ты бы до сих пор по деревьям лазал и жопу камнем вытирал...

iBliss ()

Re: Критическая уязвимость в JRE.

Гм. Это все из-за JIT.

eXOR ★★★★★ ()

Re: Критическая уязвимость в JRE.

Проклятое решето!

Никогда не любил жабу...

anonymous ()
Ответ на: Re: Критическая уязвимость в JRE. от anonymous

Re: Критическая уязвимость в JRE.

+1. Всегда знал, что хоть один анонимус на любое сообщение об уязвимости чего-то сообщит "Всегда знал, что "чего-то" - говно".

anonymous ()
Ответ на: Re: Критическая уязвимость в JRE. от anonymous

Re: Критическая уязвимость в JRE.

>А жабберы ссут кипятком восхваляя свою жабу... А тут такое...

Ты почитай хотя бы этот топик: жабберы тихо себе работают. И только Анонимусы излишне эмоциональны.

achy ()
Ответ на: Re: Критическая уязвимость в JRE. от achy

Re: Критическая уязвимость в JRE.

Потому что, мы, анонимусы, имеем очень мало мозгов (и, соответственно, денег) и очень много свободного времени (и, соответственно, самомнения). Потому, мы, анонимусы-жабоненавистники, как бандерлоги, и радуемся малейшим багам в Java.

anonymous ()

Re: Критическая уязвимость в JRE.

Самое прикольное - дырка не в самой JVM, а в нативной библиотеке. Так что Java - рулез.

anonymous ()

Re: Критическая уязвимость в JRE.

>image parsing code

libjpeg что-ли?

r ★★★★★ ()
Ответ на: Re: Критическая уязвимость в JRE. от eXOR

Re: Критическая уязвимость в JRE.

>Гм. Это все из-за JIT.

Integer overflow in the embedded ICC profile image parser.

Хрен там. Это все та же кривая нативная libcmm. Все последние значительные баги именно в ней.

r ★★★★★ ()
Ответ на: Re: Критическая уязвимость в JRE. от r

Re: Критическая уязвимость в JRE.

>Integer overflow in the embedded ICC profile image parser.

>Хрен там. Это все та же кривая нативная libcmm. Все последние значительные баги именно в ней.

Фтоппку C/C++

iZEN ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.