Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
JavaTM Platform 4, Standard Edition
(1.4.2_12)
JavaTM Platform 5, Standard Edition
(5.0, 5.0 U7)
Описание
Переполнение буфера в Sun Java Development Kit (JDK), Java Runtime Environment (JRE), Java System Development Kit (SDK), JRE и SDK позволяет злоумышленникам разрабатывать Java-аплеты, с помощью которых можно читать, записывать или выполнять локальные файлы. Эти уязвимости, возможно, связаны с целочисленными переполнениями в функциях Java_sun_awt_image_ImagingLib_convolveBI, awt_parseRaster, and awt_parseColorModel; с переполнением стека в функции Java_sun_awt_image_ImagingLib_lookupByteRaster; и некорректной обработкой некоторых отрицательных значений в функции Java_sun_font_SunLayoutEngine_nativeLayout. Замечание: некоторые из этих сведений получены от стороннего источника.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.oracle.com/technetwork/java/index.html
http://www.oracle.com/technetwork/java/index.html
Ссылки
SUNALERT (102729): http://sunsolve.sun.com/search/document.do?assetkey=1-26-102729-1
BID (21675): http://www.securityfocus.com/bid/21675
FRSIRT (ADV-2006-5073): http://www.frsirt.com/english/advisories/2006/5073
http://scary.beasts.org/security/CESA-2005-008.txt
SECTRACK (1017425): http://securitytracker.com/id?1017425
SUSE (SUSE-SA:2007:003): http://lists.suse.com/archive/suse-security-announce/2007-Jan/0003.html
CERT-VN (VU#149457): http://www.kb.cert.org/vuls/id/149457
CERT-VN (VU#939609): http://www.kb.cert.org/vuls/id/939609
GENTOO (GLSA-200701-15): http://security.gentoo.org/glsa/glsa-200701-15.xml
GENTOO (GLSA-200702-08): http://security.gentoo.org/glsa/glsa-200702-08.xml
HP (HPSBUX02196): http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?lang=en&cc=us&objectID=c00876579
REDHAT (RHSA-2007:0062): http://www.redhat.com/support/errata/RHSA-2007-0062.html
REDHAT (RHSA-2007:0072): http://www.redhat.com/support/errata/RHSA-2007-0072.html
REDHAT (RHSA-2007:0073): http://www.redhat.com/support/errata/RHSA-2007-0073.html
SUSE (SUSE-SA:2007:010): http://www.novell.com/linux/security/advisories/2007_10_ibmjava.html
FRSIRT (ADV-2007-0936): http://www.frsirt.com/english/advisories/2007/0936
BEA (BEA07-174.00): http://dev2dev.bea.com/pub/advisory/243
FRSIRT (ADV-2007-1814): http://www.frsirt.com/english/advisories/2007/1814
BID (21675): http://www.securityfocus.com/bid/21675
FRSIRT (ADV-2006-5073): http://www.frsirt.com/english/advisories/2006/5073
http://scary.beasts.org/security/CESA-2005-008.txt
SECTRACK (1017425): http://securitytracker.com/id?1017425
SUSE (SUSE-SA:2007:003): http://lists.suse.com/archive/suse-security-announce/2007-Jan/0003.html
CERT-VN (VU#149457): http://www.kb.cert.org/vuls/id/149457
CERT-VN (VU#939609): http://www.kb.cert.org/vuls/id/939609
GENTOO (GLSA-200701-15): http://security.gentoo.org/glsa/glsa-200701-15.xml
GENTOO (GLSA-200702-08): http://security.gentoo.org/glsa/glsa-200702-08.xml
HP (HPSBUX02196): http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?lang=en&cc=us&objectID=c00876579
REDHAT (RHSA-2007:0062): http://www.redhat.com/support/errata/RHSA-2007-0062.html
REDHAT (RHSA-2007:0072): http://www.redhat.com/support/errata/RHSA-2007-0072.html
REDHAT (RHSA-2007:0073): http://www.redhat.com/support/errata/RHSA-2007-0073.html
SUSE (SUSE-SA:2007:010): http://www.novell.com/linux/security/advisories/2007_10_ibmjava.html
FRSIRT (ADV-2007-0936): http://www.frsirt.com/english/advisories/2007/0936
BEA (BEA07-174.00): http://dev2dev.bea.com/pub/advisory/243
FRSIRT (ADV-2007-1814): http://www.frsirt.com/english/advisories/2007/1814
