[Javalist] Java 1.7 security bug
auth.gabor at javaforum.hu
auth.gabor at javaforum.hu
2012. Aug. 30., Cs, 13:43:01 CEST
Hi,
> http://nakedsecurity.sophos.com/2012/08/28/unpatched-java-exploit-spreads-like-wildfire/
Már volt róla szó... :)
http://wiki.javaforum.hu/pages/viewpage.action?pageId=28442766
> Milyen jó, hogy minden, széles körben használt szoftvert, amit a nyugati
> világ kifejleszt a Kínai Népköztársaság szorgos munkatársai rendkívül
> részletes biztonsági auditnak vetnek alá.
:)
> A 2. pont úgy van implementálva (nem is lehet másként), hogy minden olyan
> eljárás, ami valami védett információhoz tud hozzáférni (pl. át tudja
> állítani a System osztály statikus security mezőjét) előtte megkérdezi a
> SecurityManager-t (ha van, és nem null a System security), hogy szabad-e.
> A mostani hiba abból fakad, hogy kínai kollégáink találtak az 1.7.0.6
> release-ben egy olyan metódust, amelyik az 1.6-ban még nem volt, és
> amelyikkel úgy lehet átállítani a security manager-t, hogy előtte nem
> kérdezik meg tőle, hogy ki lehet-e őt kapcsolni.
Nem egészen.
A SecurityManager-t egy Java6-ban is régóta meglévő osztállyal tudták
állítani (SunToolKit), amelyet viszont csak egy Java7-ben megjelenő
ClassFinder osztállyal tudtak betölteni, amely a java.beans.Statement
osztályból hívtak meg egy olyan ágon, amely fura megoldás, de járható
út... :)
Egyébként az OpenJDK6 is érintett...
--
Auth Gábor
További információk a(z) Javalist levelezőlistáról