[Javalist] Java 1.7 security bug

auth.gabor at javaforum.hu auth.gabor at javaforum.hu
2012. Aug. 30., Cs, 13:43:01 CEST


Hi,

> http://nakedsecurity.sophos.com/2012/08/28/unpatched-java-exploit-spreads-like-wildfire/

  Már volt róla szó... :)

  http://wiki.javaforum.hu/pages/viewpage.action?pageId=28442766

> Milyen jó, hogy minden, széles körben használt szoftvert, amit a nyugati
> világ kifejleszt a Kínai Népköztársaság szorgos munkatársai rendkívül
> részletes biztonsági auditnak vetnek alá.

  :)

> A 2. pont úgy van implementálva (nem is lehet másként), hogy minden olyan
> eljárás, ami valami védett információhoz tud hozzáférni (pl. át tudja
> állítani a System osztály statikus security mezőjét) előtte megkérdezi a
> SecurityManager-t (ha van, és nem null a System security), hogy szabad-e.
> A mostani hiba abból fakad, hogy kínai kollégáink találtak az  1.7.0.6
> release-ben egy olyan metódust, amelyik az 1.6-ban még nem volt, és
> amelyikkel úgy lehet átállítani a security manager-t, hogy előtte nem
> kérdezik meg tőle, hogy ki lehet-e őt kapcsolni.

  Nem egészen.

  A SecurityManager-t egy Java6-ban is régóta meglévő osztállyal tudták
állítani (SunToolKit), amelyet viszont csak egy Java7-ben megjelenő
ClassFinder osztállyal tudtak betölteni, amely a java.beans.Statement
osztályból hívtak meg egy olyan ágon, amely fura megoldás, de járható
út... :)

  Egyébként az OpenJDK6 is érintett...
-- 
Auth Gábor



További információk a(z) Javalist levelezőlistáról