Fatal编程技术网
  • java/
  • 使用EOL版本Java时存在安全漏洞

使用EOL版本Java时存在安全漏洞

java security

使用EOL版本Java时存在安全漏洞,java,security,Java,Security,在我们的内部intranet web服务器上使用以下版本的Java是否存在任何安全漏洞 java version "1.4.2", gij (GNU libgcj) version 4.1.2 20080704 (Red Hat 4.1.2-51) I think this version was decommissioned in 2008 我们的web服务器非常过时,我一直在推动升级到现代Java应用程序服务器和Java 1.6,但它和我上面的功能还没有看到对它的需求 但后来我收到一封电子

在我们的内部intranet web服务器上使用以下版本的Java是否存在任何安全漏洞

java version "1.4.2", gij (GNU libgcj) version 4.1.2 20080704 (Red Hat 4.1.2-51)
I think this version was decommissioned in 2008
我们的web服务器非常过时,我一直在推动升级到现代Java应用程序服务器和Java 1.6,但它和我上面的功能还没有看到对它的需求

但后来我收到一封电子邮件,他们发现web服务器存在安全漏洞(工作中的热门话题)

SunOne 6.1, SP9
而且它的补丁需要升级到更新版本的Java。几周后,一封后续电子邮件指出不再需要SunOne补丁,因为它不适用于我们,因此他们将不再升级JRE

SunOne漏洞可能不适用于我们,但Java 1.4.2中肯定存在一些漏洞,我可以指出并利用我的新应用服务器!!:)

您应该升级。请参阅其中描述的多个缓冲区溢出和影响更高版本的浮点解析DoS问题

与运行Java服务器的人相关的是

  • JRE以不安全的方式创建临时文件。攻击者可以利用此问题编写任意JAR文件,并在受影响的计算机上执行受限操作。Sun Alert ID 244986和CVE-2008-5360中跟踪了该问题

  • JRE处理GIF图像(CR 6766136)和处理字体(CR 6733336和6751322)时会出现多个缓冲区溢出漏洞。这些问题源于AWT库中的堆溢出,可能允许攻击者执行任意代码。在通过“卷积”操作进行转换期间,将自定义图像模型用于源“光栅”时会出现问题。这些问题在Sun Alert ID 244987、CVE-2008-5356、CVE-2008-5357、CVE-2008-5358和CVE-2008-5359中进行了跟踪

  • 存在一个安全绕过漏洞,因为JRE的“Java更新”机制在安装数字签名之前无法检查数字签名。这可能允许攻击者通过执行DNS欺骗攻击在受影响的计算机上安装恶意文件。Sun Alert ID 244989和CVE-2008-5355中跟踪了该问题

  • JRE中的安全漏洞可能允许不受信任的小程序或应用程序将权限提升为运行恶意应用程序的用户的权限。反序列化“sun.util.calendar.ZoneInfo”日历对象时会出现此问题。攻击者可以通过反序列化日历在特权上下文中反序列化ZoneInfo对象。Sun Alert ID 244991和CVE-2008-5353中跟踪了该问题

  • JRE UTF-8(Unicode转换格式-8)解码器存在一个弱点,因为它接受比“最短”形式更长的编码。攻击者可能利用此问题欺骗使用解码器的应用程序接受无效输入。Sun Alert ID 245246和CVE-2008-5351中跟踪了该问题

  • 出现拒绝服务漏洞的原因是JRE不正确地处理Java应用程序远程客户端提供的某些RSA公钥。Sun Alert ID 246286和CVE-2008-5349中跟踪了该问题

  • JRE通过Kerberos对用户进行身份验证的方式导致出现拒绝服务漏洞。攻击者可能利用此漏洞耗尽操作系统资源并拒绝向合法用户提供服务。Sun Alert ID 246346和CVE-2008-5348中跟踪了该问题

  • JRE中JAX-WS和JAXB包中的多个安全漏洞可能允许不受信任的小程序以提升的权限执行操作。Sun Alert ID 246366和CVE-2008-5347跟踪了这些问题

  • 发生安全绕过漏洞的原因是允许从本地文件系统加载的代码访问本地主机。这可能用于违反同源策略的攻击。Sun Alert ID 246387和CVE-2008-5345中跟踪了该问题

    • 您可以选择:

    有两种方法可以让您相信升级服务器的能力

  • 表明现有的将导致财务损失
  • 显示您需要请求的应用程序的新功能
    • 坦率地说,如果您不直接负责相关服务器的运行状况和维护,那么第一个问题将是一条艰难的道路。有些人可能会认为你的请求是对他们领土的侵犯,并指出了对黑客的坚实防御历史。当然,你可能会提到索尼最近在这方面的问题。。风险自负。见鬼,我去过的地方花了一年多的时间才在一些IIS设备上安装了service Pack。我甚至被带到一个地方,在那里我证明了现有的路由器设置意味着我可以轻松地获取每个人的电子邮件密码

    从开发人员的角度来看,第二个更容易。最新的JDK中是否有您真正需要的东西?例如,某个应用程序要求只能通过使用新功能才能满足?如果没有,那就忘了它吧。如果有,那么你的经理会为你的员工提供一个新的服务器

    以下是基于纯粹观点的建议

    从道德编码器的角度来看,如果您有安全顾虑,请直接与负责人交谈(而不是电子邮件),然后继续。只有在您认为安全问题可能导致健康、财务或其他关键PII数据丢失的情况下,才能进一步采取行动。在这一点上,它将被期望为您发送一封电子邮件和适当的抄送的负责人以及管理层。然而,一旦完成,就放手吧,因为它完全不在你的掌控之中。这将满足任何警告要求,并且在数据丢失的情况下,您可以确保相应的法律机构将调查该电子邮件线索

    我之所以做出区分,是因为第一条路径允许负责人获得ov