home *** CD-ROM | disk | FTP | other *** search
/ Komputer for Alle: Internet utan modem / Internet CD.iso / web / iic / certja~1.txt < prev    next >
Encoding:
Text File  |  1997-03-23  |  6.6 KB  |  167 lines
  1. CERT Advisory writes :
  2. From cert-advisory-request@cert.org  Tue Mar  5 21:50:02 1996
  3. Date: Tue, 5 Mar 1996 13:34:30 -0500
  4. Message-Id: <199603051834.NAA13700@why.cert.org>
  5. From: CERT Advisory <cert-advisory@cert.org>
  6. To: cert-advisory@cert.org
  7. Subject: CERT Advisory CA-96.05 - Java
  8. Reply-To: cert-advisory-request@cert.org
  9. Organization: CERT(sm) Coordination Center -  +1 412-268-7090
  10.  
  11. =============================================================================
  12. CERT(sm) Advisory CA-96.05
  13. March 5, 1996
  14.  
  15. Topic: Java Implementations Can Allow Connections to an Arbitrary Host
  16.  
  17. -----------------------------------------------------------------------------
  18.  
  19. The CERT Coordination Center has received reports of a vulnerability in
  20. implementations of the Java Applet Security Manager. This vulnerability is
  21. present in the Netscape Navigator 2.0 Java implementation and in Release
  22. 1.0 of the Java Developer's Kit from Sun Microsystems, Inc. These
  23. implementations do not correctly implement the policy that an applet may
  24. connect only to the host from which the applet was loaded.
  25.  
  26. The CERT Coordination Center recommends installing patches from the vendors,
  27. and using the workaround described in Section III until patches can be
  28. installed.
  29.  
  30. As we receive additional information relating to this advisory, we
  31. will place it in
  32.  
  33.         ftp://info.cert.org/pub/cert_advisories/CA-96.05.README
  34.  
  35. We encourage you to check our README files regularly for updates on
  36. advisories that relate to your site.
  37.  
  38. -----------------------------------------------------------------------------
  39.  
  40. I.   Description
  41.  
  42.      There is a serious security problem with the Netscape Navigator 2.0 Java
  43.      implementation. The vulnerability is also present in the Java Developer's
  44.      Kit 1.0 from Sun Microsystems, Inc. The restriction allowing an applet to
  45.      connect only to the host from which it was loaded is not properly
  46.      enforced. This vulnerability, combined with the subversion of the DNS
  47.      system, allows an applet to open a connection to an arbitrary host on the
  48.      Internet. 
  49.  
  50.      In these Java implementations, the Applet Security Manager allows an
  51.      applet to connect to any of the IP addresses associated with the name
  52.      of the computer from which it came. This is a weaker policy than the
  53.      stated policy and leads to the vulnerability described herein.
  54.  
  55. II.  Impact
  56.  
  57.      Java applets can connect to arbitrary hosts on the Internet, including
  58.      those presumed to be previously inaccessible, such as hosts behind a
  59.      firewall. Bugs in any TCP/IP-based network service can then be exploited.
  60.      In addition, services previously thought to be secure by virtue of their
  61.      location behind a firewall can be attacked. 
  62.  
  63. III. Solution
  64.  
  65.      To fix this problem, the Applet Security Manager must be more strict
  66.      in deciding which hosts an applet is allowed to connect to. The Java
  67.      system needs to take note of the actual IP address that the applet truly
  68.      came from (getting that numerical address from the applet's packets as
  69.      the applet is being loaded), and thereafter allow the applet to connect
  70.      only to that same numerical address. 
  71.  
  72.      We urge you to obtain vendor patches as they become available.
  73.      Until you can install the patches that implement the more strict
  74.      applet connection restrictions, you should apply the workarounds
  75.      described in each section below.
  76.  
  77.      A. Netscape users
  78.  
  79.         For Netscape Navigator 2.0, use the following URL to learn more about
  80.         the problem and how to download and install a patch:
  81.  
  82.             http://home.netscape.com/newsref/std/java_security.html 
  83.    
  84.         Until you install the patch, disable Java using the "Security
  85.         Preferences" dialog box.
  86.          
  87.  
  88.      B. Sun users 
  89.  
  90.         A patch for Sun's HotJava will be available soon.
  91.  
  92.         Until you can install the patch, disable applet downloading by
  93.         selecting "Options" then "Security...". In the "Enter desired security
  94.         mode" menu, select the "No access" option.
  95.  
  96.         In addition, select the "Apply security mode to applet loading" to
  97.         disable applet loading entirely, regardless of the source of the
  98.         applet.  
  99.          
  100.  
  101.      C. Both Netscape and Sun users
  102.         
  103.         If you operate an HTTP proxy server, you could also disable
  104.         applets by refusing to fetch Java ".class" files. 
  105.  
  106.  
  107. ---------------------------------------------------------------------------
  108. The CERT Coordination Center thanks Drew Dean, Ed Felton, and Dan Wallach of
  109. Princeton University for providing information for this advisory. We thank
  110. Netscape Communications Corporation, especially Jeff Truehaft, and Sun
  111. Microsystems, Inc., especially Marianne Mueller, for their response to this
  112. problem. 
  113. ---------------------------------------------------------------------------
  114.  
  115. If you believe that your system has been compromised, contact the CERT
  116. Coordination Center or your representative in the Forum of Incident
  117. Response and Security Teams (FIRST).
  118.  
  119. We strongly urge you to encrypt any sensitive information you send by email.
  120. The CERT Coordination Center can support a shared DES key and PGP. Contact the
  121. CERT staff for more information. 
  122.  
  123. Location of CERT PGP key
  124.          ftp://info.cert.org/pub/CERT_PGP.key
  125.  
  126. CERT Contact Information
  127. ------------------------
  128. Email    cert@cert.org
  129.  
  130. Phone    +1 412-268-7090 (24-hour hotline)
  131.                 CERT personnel answer 8:30-5:00 p.m. EST
  132.                 (GMT-5)/EDT(GMT-4), and are on call for
  133.                 emergencies during other hours.
  134.  
  135. Fax      +1 412-268-6989
  136.  
  137. Postal address
  138.         CERT Coordination Center
  139.         Software Engineering Institute
  140.         Carnegie Mellon University
  141.         Pittsburgh PA 15213-3890
  142.         USA
  143.  
  144. To be added to our mailing list for CERT advisories and bulletins, send your
  145. email address to
  146.         cert-advisory-request@cert.org
  147.  
  148. CERT publications, information about FIRST representatives, and other
  149. security-related information are available for anonymous FTP from
  150.         ftp://info.cert.org/pub/
  151.  
  152. CERT advisories and bulletins are also posted on the USENET newsgroup
  153.         comp.security.announce
  154.  
  155.  
  156. Copyright 1996 Carnegie Mellon University
  157. This material may be reproduced and distributed without permission provided it
  158. is used for noncommercial purposes and the copyright statement is included.
  159.  
  160. CERT is a service mark of Carnegie Mellon University.
  161.  
  162.  
  163. <-jobs with Austria's finest IP provider at http://www.Austria.EU.net/jobs>
  164. Georg Chytil                                    CG46  chytil@Austria.EU.net
  165. EUnet EDV-Dienstleistungs-Gesellschaft m.b.H.   http://www.Austria.EU.net/
  166. Fon : +43/Vienna/31376                          Fax : +43/Vienna/3106926
  167.