Уязвимость раскрытия чувствительной информации в IcedTea, вызванная объявлением множества чувствительных переменных как общедоступных
Описание
Обнаружена уязвимость в IcedTea, основанной на OpenJDK 6. Проблема заключается в том, что множество чувствительных переменных объявлены как общедоступные. Это позволяет удалённым злоумышленникам получить доступ к чувствительной информации, включая:
- Свойство системы
user.name. - Свойство системы
user.home. - Свойство системы
java.home. - Другую чувствительную информацию, такую как директории установки.
Затронутые версии ПО
- IcedTea 1.7.x до версии 1.7.6
- IcedTea 1.8.x до версии 1.8.3
- IcedTea 1.9.x до версии 1.9.2
Тип уязвимости
Раскрытие чувствительной информации
Затронутые пакеты
| Платформа | Пакет | Состояние | Рекомендация | Релиз |
|---|---|---|---|---|
| Red Hat Enterprise Linux 6 | java-1.6.0-openjdk | Affected | ||
| Red Hat Enterprise Linux 5 | java-1.6.0-openjdk | Fixed | RHSA-2011:0176 | 25.01.2011 |
Показывать по
Дополнительная информация
Статус:
4.3 Medium
CVSS2
Связанные уязвимости
IcedTea 1.7.x before 1.7.6, 1.8.x before 1.8.3, and 1.9.x before 1.9.2, as based on OpenJDK 6, declares multiple sensitive variables as public, which allows remote attackers to obtain sensitive information including (1) user.name, (2) user.home, and (3) java.home system properties, and other sensitive information such as installation directories.
IcedTea 1.7.x before 1.7.6, 1.8.x before 1.8.3, and 1.9.x before 1.9.2, as based on OpenJDK 6, declares multiple sensitive variables as public, which allows remote attackers to obtain sensitive information including (1) user.name, (2) user.home, and (3) java.home system properties, and other sensitive information such as installation directories.
IcedTea 1.7.x before 1.7.6, 1.8.x before 1.8.3, and 1.9.x before 1.9.2 ...
IcedTea 1.7.x before 1.7.6, 1.8.x before 1.8.3, and 1.9.x before 1.9.2, as based on OpenJDK 6, declares multiple sensitive variables as public, which allows remote attackers to obtain sensitive information including (1) user.name, (2) user.home, and (3) java.home system properties, and other sensitive information such as installation directories.
ELSA-2011-0176: java-1.6.0-openjdk security update (MODERATE)
4.3 Medium
CVSS2