Oracle 2010年10月更新修复多个Java安全漏洞

文章由LinuxBoy分享于2019-04-02 10:04:16热评（276）

Oracle 2010年10月更新修复多个Java安全漏洞

发布日期：2010-10-12
更新日期：2010-10-21

受影响系统：
Sun JDK 1.6.x
Sun JDK 1.5.x
Sun JRE 1.6.x
Sun JRE 1.5.x
Sun JRE 1.4.x
Sun SDK 1.4.x
不受影响系统：
Sun JDK 1.6.0_22
Sun JDK 1.5.0_26
Sun JRE 1.6.0_22
Sun JRE 1.5.0_26
Sun JRE 1.4.2_28
Sun SDK 1.4.2_28
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 43979,43971,43965,44017,44016,44014,44013,44012,44011,44009,43999,43994,43992,43988,43985,44040,44038,44035,44032,44030,44028,44027,44026,44024,44023,44021,44020
CVE ID: CVE-2009-3555,CVE-2010-1321,CVE-2010-3541,CVE-2010-3548,CVE-2010-3549,CVE-2010-3550,CVE-2010-3551,CVE-2010-3552,CVE-2010-3553,CVE-2010-3554,CVE-2010-3555,CVE-2010-3556,CVE-2010-3557,CVE-2010-3558,CVE-2010-3559,CVE-2010-3560,CVE-2010-3561,CVE-2010-3562,CVE-2010-3563,CVE-2010-3565,CVE-2010-3566,CVE-2010-3567,CVE-2010-3568,CVE-2010-3569,CVE-2010-3570,CVE-2010-3571,CVE-2010-3572,CVE-2010-3573,CVE-2010-3574

Java运行时环境（JRE）为JAVA应用程序提供可靠的运行环境。

Sun Java中存在多个安全漏洞，用户受骗访问了恶意网页就会导致拒绝服务、泄露敏感信息、操控某些数据、绕过安全限制或完全入侵用户系统。

1) 2D组件中的漏洞可能允许执行任意代码。

2) JPEGImageWriter.writeImage()函数在处理JPEG图形维度时的整数溢出可能导致执行任意代码。

3) 颜色配置文件解析器在处理ICC配置文件设备信息标签和ICC配置文件Unicode描述标签结构时的整数溢出可能导致执行任意代码。

4) CORBA、JRE、Java Web Start、Sound、Swing、Deployment Toolkit、JSSE TLS/SSL、Networking、JNDI等组件中的错误可能允许执行任意代码或读取某些数据。

5) com.sun.jnlp.BasicServiceImpl类检索安全策略时的错误可能导致删除沙盒限制。

6) JP2IEXP.dll在拷贝docbase applet参数时存在栈溢出。

7) HeadspaceSoundbank.nGetName()函数在解析BANK记录时的符号错误可能导致缓冲区溢出。

8) ActiveX插件没有正确的初始化窗口句柄，可能导致执行任意代码。

9) Kerberos GSS-API中的空指针应用可能导致拒绝服务。

10) Java运行时环境中的错误可能允许不可信任的Applet绕过同源策略访问其他域的Cookie。

<*来源：Oracle

链接：http://secunia.com/advisories/41791/
        http://marc.info/?l=full-disclosure&m=128692190618582&q=p3
        http://marc.info/?l=full-disclosure&m=128692201218699&w=2
        http://marc.info/?l=full-disclosure&m=128692214618893&q=p3
        http://marc.info/?l=full-disclosure&m=128692224418972&q=p3
        http://marc.info/?l=full-disclosure&m=128692238519137&q=p3
        http://marc.info/?l=bugtraq&m=128750013928754&w=2
        https://www.redhat.com/support/errata/RHSA-2010-0770.html
        http://www.us-cert.gov/cas/techalerts/TA10-287A.html
        https://www.redhat.com/support/errata/RHSA-2010-0768.html
        http://www.oracle.com/technetwork/topics/security/javacpuoct2010-176258.html
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

Oracle
------
Oracle已经为此发布了一个安全公告（javacpuoct2010）以及相应补丁:
javacpuoct2010：Oracle Java SE and Java for Business Critical Patch Update Advisory - October 2010
链接：http://www.oracle.com/technetwork/topics/security/javacpuoct2010-176258.html

RedHat
------
RedHat已经为此发布了一个安全公告（RHSA-2010:0768-01）以及相应补丁:
RHSA-2010:0768-01：Important: java-1.6.0-openjdk security and bug fix update
链接：https://www.redhat.com/support/errata/RHSA-2010-0768.html

推荐文章：

Oracle 2010年10月更新修复多个Java安全漏洞