Sun Java系统目录服务器多个拒绝服务和远程代码执行漏洞

发布日期：2010-04-13
更新日期：2010-04-15受影响系统：
Sun Java System Directory Server 6.3
Sun Java System Directory Server 6.2
Sun Java System Directory Server 6.1
Sun Java System Directory Server 6.0
Sun Java System Directory Server 5.2
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 39453
CVE ID: CVE-2010-0897Sun Java系统目录服务器是Java企业系统的一个组件，为企业管理大量用户信息提供用户管理基础架构。Java系统目录服务器的DSML-over-HTTP实现中存在拒绝服务漏洞。远程攻击者可以通过向服务器提交HTTP POST请求执行搜索。当服务处理搜索请求中的畸形用户名或包含有UTF-8字符的XML请求时，就可能触发空指针引用或异常，导致服务器无法再处理之后的查询请求。Java系统目录服务器的LDAP实现中还存在缓冲区溢出漏洞。当服务在解码用户所提交的畸形LDAP查询时就可以触发这个溢出，导致以服务的环境执行任意代码。<*来源：ZDI （http://www.zerodayinitiative.com/）

链接：http://secunia.com/advisories/39437/
        http://www.adobe.com/support/security/bulletins/apsb10-09.html
        http://marc.info/？l=bugtraq&m=127126770307440&w=2
        http://marc.info/？l=bugtraq&m=127127201814315&w=2
        http://marc.info/？l=bugtraq&m=127126374232261&w=2
        http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2010.html
        http://www.us-cert.gov/cas/techalerts/TA10-103B.html
*>建议：
--------------------------------------------------------------------------------
厂商补丁：Oracle
------
Oracle已经为此发布了一个安全公告（cpuapr2010）以及相应补丁:
cpuapr2010：Oracle Critical Patch Update Advisory - April 2010
链接：http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2010.htmlKDE KDM不安全文件权限本地权限提升漏洞Linux下Sudo sudoedit路径解析本地权限提升漏洞相关资讯 Sun

Sun 要 Google 为 Java 授权付 5 （04/26/2012 06:10:24）
不落的太阳！体验一款源自Sun的开（10/08/2011 06:15:11）
Sun前CEO：如果当年收购苹果如今（02/26/2011 16:53:30）

谷歌将与Sun达成2800万美元的Java （10/18/2011 09:37:43）
分析Sun没落原因：高层重硬件轻软（03/05/2011 06:35:45）
Sun被收购一年后：甲骨文是否成功（02/14/2011 20:50:38）

本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任
本站管理人员有权保留或删除其管辖留言中的任意内容
本站有权在网站内转载或引用您的评论
参与本评论即表明您已经阅读并接受上述条款