[Javalist] [confluence] JavaForum > A Java 7 sebezhetőség javítása
Gábor Garami
gabor.garami at hron.me
2012. Sze. 1., Szo, 11:36:25 CEST
Es ne feledkezzunk meg a legfontosabb fixrol: korrigaltak az evszamot a
copyright-ban :-)
Garami Gábor
gabor.garami at hron.me
Skype: hron84
Tel: +36 20 235 9621
Sent from my T-Mobile G2
Ezt a levelet telefonról adták fel, ékezethibákat tartalmazhat.
2012.08.31. 11:44, "Auth Gábor (Confluence)" <wiki at javaforum.hu> ezt írta:
> Auth Gábor <http://wiki.javaforum.hu/display/~auth.gabor> wrote
> a blog post:
> *A Java 7 sebezhetőség javítása*
> <http://wiki.javaforum.hu/pages/viewpage.action?pageId=28442797>
>
> Tegnap este megjelent a hírhedt Java 7 sebezhetőség javítása:
> http://www.oracle.com/technetwork/topics/security/alert-cve-2012-4681-1835715.html
>
> Kis kutakodással a források között találunk egy érdekességet a
> ClassFinder.java<http://hg.openjdk.java.net/jdk7u/jdk7u/jdk/diff/dfffff29f870/src/share/classes/com/sun/beans/finder/ClassFinder.java>osztály módosításai között:
> *ClassFinder.java*
>
> --- a/src/share/classes/com/sun/beans/finder/ClassFinder.java Tue May 25 15:58:33 2010 -0700
> +++ b/src/share/classes/com/sun/beans/finder/ClassFinder.java Tue Jun 19 21:04:48 2012 +0400
> @@ -1,5 +1,5 @@
> /*
> - * Copyright (c) 2006, 2008, Oracle and/or its affiliates. All rights reserved.
> + * Copyright (c) 2006, 2012, Oracle and/or its affiliates. All rights reserved.
> * DO NOT ALTER OR REMOVE COPYRIGHT NOTICES OR THIS FILE HEADER.
> *
> * This code is free software; you can redistribute it and/or modify it
> @@ -23,6 +23,8 @@
> * questions.
> */
> package com.sun.beans.finder;
> +
> +import static sun.reflect.misc.ReflectUtil.checkPackageAccess;
>
> /**
> * This is utility class that provides {@code static} methods
> @@ -54,6 +56,7 @@ public final class ClassFinder {
> * @see Thread#getContextClassLoader()
> */
> public static Class<?> findClass(String name) throws ClassNotFoundException {
> + checkPackageAccess(name);
> try {
> ClassLoader loader = Thread.currentThread().getContextClassLoader();
> if (loader == null) {
> @@ -94,6 +97,7 @@ public final class ClassFinder {
> * @see Class#forName(String,boolean,ClassLoader)
> */
> public static Class<?> findClass(String name, ClassLoader loader) throws ClassNotFoundException {
> + checkPackageAccess(name);
> if (loader != null) {
> try {
> return Class.forName(name, false, loader);
>
> Egyszerűen a problémát okozó metódusok elé bekerült egy *
> checkPackageAccess* hívás a ReflectUtil<http://hg.openjdk.java.net/jdk7u/jdk7u/jdk/file/00cd9dc3c2b5/src/share/classes/sun/reflect/misc/ReflectUtil.java>osztályból, amely leellenőrzi, hogy az adott osztály betölthető-e:
> *ReflectionUtil.java*
>
> public static void checkPackageAccess(String name) {
> SecurityManager s = System.getSecurityManager();
> if (s != null) {
> String cname = name.replace('/', '.');
> if (cname.startsWith("[")) {
> int b = cname.lastIndexOf('[') + 2;
> if (b > 1 && b < cname.length()) {
> cname = cname.substring(b);
> }
> }
> int i = cname.lastIndexOf('.');
> if (i != -1) {
> s.checkPackageAccess(cname.substring(0, i));
> }
> }
> }
>
> Amint láthatjuk, a javítás június 19-én került a forrásokba, az előző
> Java 7 update 6 kiadás augusztus 14-én kerül ki, jó kérdés, hogy egy ismert
> hiba javítása miért nem került bele ez utóbbi verzióba, amikor elegendő idő
> jutott volna a tesztelésére és javítására...
> ------------------------------
>
> Your Rating: Thanks for voting! <http://wiki.javaforum.hu/plugins/rate/rating.action?decorator=none&displayFilter.includeCookies=true&displayFilter.includeUsers=true&ceoId=28442797&rating=1&redirect=true><http://wiki.javaforum.hu/plugins/rate/rating.action?decorator=none&displayFilter.includeCookies=true&displayFilter.includeUsers=true&ceoId=28442797&rating=2&redirect=true><http://wiki.javaforum.hu/plugins/rate/rating.action?decorator=none&displayFilter.includeCookies=true&displayFilter.includeUsers=true&ceoId=28442797&rating=3&redirect=true><http://wiki.javaforum.hu/plugins/rate/rating.action?decorator=none&displayFilter.includeCookies=true&displayFilter.includeUsers=true&ceoId=28442797&rating=4&redirect=true><http://wiki.javaforum.hu/plugins/rate/rating.action?decorator=none&displayFilter.includeCookies=true&displayFilter.includeUsers=true&ceoId=28442797&rating=5&redirect=true> [image:
> Please Wait] Please Wait Results: [image: Pathetic][image: Bad][image: OK][image:
> Good][image: Outstanding!] 0 rates ****
>
> Page viewed 1 times by 1 users since Aug 31, 2012
> Name Last viewed Times viewed Javaforum List<http://wiki.javaforum.hu/display/~javalist>
> Aug 31, 2012 11:43 1
>
>
>
>
>
>
> View Online<http://wiki.javaforum.hu/pages/viewpage.action?pageId=28442797> Manage
> Notifications <http://wiki.javaforum.hu/users/editmyemailsettings.action>
> · Unsubscribe from all blog posts<http://wiki.javaforum.hu/users/viewmyemailsettings.action> This
> message was sent by Atlassian Confluence<http://www.atlassian.com/software/confluence>4.2.5, the Enterprise
> Wiki<http://www.atlassian.com/software/confluence/tour/enterprise-wiki.jsp>
>
> _______________________________________________
> Javalist mailing list
> Javalist at lists.javaforum.hu
> http://lists.javaforum.hu/mailman/listinfo/javalist
>
>
--------- következő rész ---------
Egy csatolt HTML állomány át lett konvertálva...
URL: <http://lists.javaforum.hu/pipermail/javalist/attachments/20120901/dc451a5a/attachment.html>
--------- következő rész ---------
A non-text attachment was scrubbed...
Name: avatar_d7177d5506ab05ef431ea35647b597a3
Type: image/jpeg
Size: 3609 bytes
Desc: nem elérhető
URL: <http://lists.javaforum.hu/pipermail/javalist/attachments/20120901/dc451a5a/attachment.jpe>
--------- következő rész ---------
A non-text attachment was scrubbed...
Name: blogpost-icon
Type: image/png
Size: 1536 bytes
Desc: nem elérhető
URL: <http://lists.javaforum.hu/pipermail/javalist/attachments/20120901/dc451a5a/attachment.png>
További információk a(z) Javalist levelezőlistáról