VulDB: Sun Java JRE bis 1.5.0 Update 6 Applet Font.createFont() Denial of Service
Allgemein
scipID: 2247
Betroffen: Sun Java JRE bis 1.5.0 Update 6
Veröffentlicht: 16.05.2006 (Marc Schoenefeld)
Risiko: 
kritisch
Beschreibung
Java ist eine von Sun entwickelte plattformunabhängige Programmiersprache und nicht mit Java-Script zu vergleichen. Die Plattformunabhängigkeit wird dadurch erreicht, dass der kompilierte Programmcode zur Laufzeit interpretiert wird. Sehr gern wird Java auf Webseiten genutzt. Marc Schoenefeld entdeckte in Sun Java JRE bis 1.5.0 Update 6 eine Denial of Service-Schwachstelle. So sei es durch die Funktion Font.createFont() innerhalb eines Applets möglich, beliebig grosse Dateien in das temporäre Verzeichnis zu schreiben. Dadurch liesse sich der gesamte Festplatten-Speicher aufbrauchen und eine Denial of Service-Attacke gegen das System umsetzen. Als Workaround wird empfohlen, nach einem Angriff die im Verzeichnis temp hinterlassenen Dateien zu löschen, um einen normalen Betriebszustand wiederherstellen zu können.
Der Angriff ist klein aber fein. Um seinen Arbeitskollegen einen Streich zu spielen eignet sich der Java-Angriff allemal. Für wirklich produktive Zwecke ist er jedoch hingegen weniger nützlich. Entsprechend werden höchstens Skript-Kiddies Freude am Fehler haben. Man sollte nach wie vor also darauf achten, welchen Link man folgt.
Exploiting
Klasse: Denial of Service
Lokal: Ja
Remote: Ja
Exploit: –
Milw0rm: –
Nessus: 27278 (Name: SuSE Security Update: SUN Java packages prior 1.5.0 update 7 allow DOS. (java-1_5_0-sun-1438)
ATK: –
Gegenmassnahmen
Status: Hersteller wurde über die Schwachstelle informiert.
Bestätigung: http://support.avaya.com/elmodocs2/security/ASA-2009-109.htm
Massnahme: Ein alternatives Produkt einsetzen.
Link: http://java.sun.com/downloads/
Snort: –
Pattern: –
Quellen
Advisory: –
CVE: CVE-2006-2426
OSVDB: 25561
Securityfocus: 17981
Secunia: 34675
X-Force: 26493
Securitytracker: –
VUPEN: ADV-2006-1824
Securiteam: –
Tecchannel: –
Heise: –
smSS: –
Buchtipp: George Kurtz, Stuart McClure und Joel Scambray (2002), Das Anti-Hacker-Buch, mitp, ISBN 3826608453 (amazon.de)
