FreeBSD：java 7.x -- 安全性管理員繞過 (d5e0317e-5e45-11e2-a113-c48508086173)

medium Nessus Plugin ID 63589

語系：

Synopsis

遠端 FreeBSD 主機缺少一個或多個安全性相關更新。

描述

US CERT 報告：

Java 7 Update 10 和舊版 Java 7 含有一個弱點，可允許未經驗證的遠端攻擊者在容易受影響的系統上執行任意程式碼。

Java JRE 外掛程式會提供自己的安全性管理員。web applet 通常會與瀏覽器或 Java Web Start 外掛程式提供的安全性管理員一起執行。Oracle 的文件中敘述：「如果已有安裝一個安全性管理員，此方法會先使用 RuntimePermission('setSecurityManager') 權限，呼叫安全性管理員的 checkPermission 方法，以確保可安全取代現有的安全性管理員。這可能會導致擲回 SecurityException」。

利用 Java Management Extensions (JMX) MBean 元件中的弱點，無權限的 Java 程式碼便可以存取受限的類別。利用該弱點搭配涉及反射 API 和 MethodHandle 類別之 invokeWithArguments 方法的另一個弱點，未受信任的 Java applet 便可以透過呼叫 setSecurityManager() 函式允許完整權限來提升其權限，而不需要程式碼簽署。
Oracle Java 7 Update 10 和舊版 Java 7 會受到影響。invokeWithArguments 方法是使用 Java 7 引入，因此 Java 6 不會受到影響。

此弱點在環境中會受到攻擊，因此據報已併入惡意利用套件。此弱點的惡意利用程式碼也可公開取得。

Immunity Inc. 的 Esteban Guillardoy 另外澄清了遞迴反射惡意利用技術：

真正的問題在於原生的 sun.reflect.Reflection.getCallerClass 方法。

我們可以在反射來源程式碼中看到下列資訊：

傳回堆疊 (以零為基礎) 上方法 realFramesToSkip 框架的類別，進而忽略與 java.lang.reflect.Method.invoke() 及其實作相關的框架。

因此，上述所發生的狀況就是，它們忘記略過與新反射 API 相關的框架，而僅將舊的反射 API 納入考量。

此惡意利用不只影響 Java applet，還影響軟體的每個部份 (依賴 Java Security Manager 在沙箱中執行可執行程式碼)：惡意程式碼可以完全停用 Security Manager。

對於在已啟用 Java 外掛程式的情況下執行原生網頁瀏覽器的使用者，其因應措施就是，移除 java/icedtea-web 連接埠，並重新啟動所有瀏覽器執行個體。

對於執行 Linux 網頁瀏覽器類別的使用者，其因應措施則是，停用瀏覽器中的 Java 外掛程式，或將 linux-sun-* 套件升級至不容易受影響的版本。

不建議使用 appletviewer 執行未受信任的 applet，因為這可能會導致在容易受影響的 JDK/JRE 版本上執行惡意程式碼。