ThaiCERT : Advisories & Alerts : CERT : CA-2008-07

Home >> Advisories & Alerts << Security Bulletins || เอกสารเผยแพร่ || เครื่องมือ || บริการ || FAQ. || เกี่ยวกับ ThaiCERT

Advisories & Alerts
CERT Advisory
Alert

CERT Advisory CA-2008-07 (Technical Cyber Security Alert TA08-066A)
Sun Updates for Multiple Vulnerabilities in Java
ต้นฉบับ: http://www.us-cert.gov/cas/techalerts/TA08-066A.html
เรียบเรียงโดย: กฤดากร หิรัญพฤกษ์

ระบบที่ได้รับผลกระทบ

Sun Java Runtime Environment เวอร์ชันดังต่อไปนี้

JDK and JRE 6 Update 4 และเวอร์ชันก่อนหน้า
JDK and JRE 5.0 Update 14 และเวอร์ชันก่อนหน้า
SDK and JRE 1.4.2_16 และเวอร์ชันก่อนหน้า
SDK and JRE 1.3.1_21 และเวอร์ชันก่อนหน้า

กล่าวโดยทั่วไป

มีการค้นพบช่องโหว่ของ Sun Java Runtime Environment เป็นจำนวนมาก ซึ่งเปิดโอกาสให้ผู้บุกรุกที่ไม่จำเป็นต้องทำการพิสูจน์ตัวตนสามารถสั่งรันคำสั่งของระบบจากระยะไกลได้

I. คำอธิบาย

Sun Java Runtime Environment (JRE) เป็นซอฟต์แวร์ที่ช่วยให้ผู้ใช้สามารถทำการรันแอพพลิเคชันที่เขียนด้วย Java บนเว็บบราวเซอร์หรือรันแบบโปรแกรมทั่วไป โดยทางบริษัท Sun ได้ทำการออกโปรแกรมซ่อมแซมช่องโหว่จำนวนหลายช่องโหว่สำหรับ Java Runtime Environment สำหรับรายละเอียดเพิ่มเติมของช่องโหว่ต่างๆ สามารถอ่านได้จากเอกสาร Vulnerability Notes

บริษัท Sun ได้ทำการแจ้งเตือนปัญหาช่องโหว่ต่างๆ ดังนี้

233321 Two Security Vulnerabilities in the Java Runtime Environment Virtual Machine
233322 Security Vulnerability in the Java Runtime Environment With the Processing of XSLT Transformations
233323 Multiple Security Vulnerabilities in Java Web Start May Allow an Untrusted Application to Elevate Privileges
233324 A Security Vulnerability in the Java Plug-in May Allow an Untrusted Applet to Elevate Privileges
233325 Vulnerabilties in the Java Runtime Environment image Parsing Library
233326 Security Vulnerability in the Java Runtime Environment May Allow Untrusted JavaScript Code to Elevate Privileges Through Java APIs
233327 Buffer Overflow Vulnerability in Java Web Start May Allow an Untrusted Application to Elevate its Privileges

II. ผลกระทบ

หากผู้ใช้ทำการรันแอพพลิเคชัน Java ที่ถูกสร้างขึ้นเพื่อใช้ในการโจมตี จะทำให้ผู้บุกรุกที่ไม่จำเป็นต้องทำการพิสูจน์ตัวตนสามารถสั่งรันคำสั่งของระบบจากระยะไกลได้

III. วิธีแก้ไข

ติดตั้งโปรแกรมซ่อมแซมช่องโหว่จาก Sun

ปัญหาช่องโหว่เหล่านี้ได้ถูกแก้ไขใน Sun Java Runtime Environment เวอร์ชันดังต่อไปนี้

JDK and JRE 6 Update 5 หรือเวอร์ชันใหม่กว่า
JDK and JRE 5.0 Update 15 หรือเวอร์ชันใหม่กว่า
SDK and JRE 1.4.2_17 หรือเวอร์ชันใหม่กว่า
SDK and JRE 1.3.1_21 และเวอร์ชันก่อนหน้า

อย่างไรก็ตาม ถึงแม้ว่าผู้ใช้จะทำการติดตั้ง Java เวอร์ชันล่าสุดลงไปในระบบแล้ว Java เวอร์ชันเก่าอาจยังอยู่ในระบบ ซึ่งถ้าไม่มีความจำเป็นต้องใช้งาน Java เวอร์ชันเก่าแล้ว ควรทำการลบออกจากระบบ สำหรับขั้นตอนการลบ Java เวอร์ชันเก่าออกจากระบบสามารถศึกษาเพิ่มเติมได้จากเอกสารของ Sun

ปิดการใช้งาน Java

ทำการปิดการใช้งาน Java บนเว็บบราวเซอร์ โดยขั้นตอนเหล่านี้ถูกกล่าวไว้ในเอกสาร Securing Your Web Browser ถึงแม้ว่าการปิดการใช้งาน Java นั้นไม่ได้เป็นการแก้ไขช่องโหว่ที่มีอยู่ แต่จะช่วยป้องกันการโจมตีต่างๆ ที่จะอาศัยช่องโหว่เหล่านี้

IV. References

US-CERT Vulnerability Notes for Sun Alerts - <http://www.kb.cert.org/vuls/byid?searchview&query=SUNJAVA_020608>
Securing Your Web Browser - <http://www.us-cert.gov/reading_room/securing_browser/>
Sun Alert 233321 - <http://sunsolve.sun.com/search/document.do?assetkey=1-66-233321-1>
Sun Alert 233322 - <http://sunsolve.sun.com/search/document.do?assetkey=1-66-233322-1>
Sun Alert 233323 - <http://sunsolve.sun.com/search/document.do?assetkey=1-66-233323-1>
Sun Alert 233324 - <http://sunsolve.sun.com/search/document.do?assetkey=1-66-233324-1>
Sun Alert 233325 - <http://sunsolve.sun.com/search/document.do?assetkey=1-66-233325-1>
Sun Alert 233326 - <http://sunsolve.sun.com/search/document.do?assetkey=1-66-233326-1>
Sun Alert 233327 - <http://sunsolve.sun.com/search/document.do?assetkey=1-66-233327-1>
Java SE Technologies at a Glance - <http://java.sun.com/javase/technologies/>
Java SE Security - <http://java.sun.com/javase/technologies/security/index.jsp>
Can I remove older versions of the JRE after installing a newer version? - <http://www.java.com/en/download/faq/5000070400.xml>

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์