home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / hacking / general / cert0110.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  7.4 KB  |  192 lines
  1.  
  2. -----BEGIN PGP SIGNED MESSAGE-----
  3.  
  4. =============================================================================
  5. CERT(sm) Advisory CA-96.05
  6. Original issue date: March 5, 1996
  7. Last revised: August 30, 1996
  8.               Information previously in the README was inserted
  9.               into the advisory.
  10.  
  11.               A complete revision history is at the end of this file.
  12.  
  13. Topic: Java Implementations Can Allow Connections to an Arbitrary Host
  14. - -----------------------------------------------------------------------------
  15.  
  16. The CERT Coordination Center has received reports of a vulnerability in
  17. implementations of the Java Applet Security Manager. This vulnerability is
  18. present in the Netscape Navigator 2.0 Java implementation and in Release
  19. 1.0 of the Java Developer's Kit from Sun Microsystems, Inc. These
  20. implementations do not correctly implement the policy that an applet may
  21. connect only to the host from which the applet was loaded.
  22.  
  23. The CERT Coordination Center recommends installing patches from the vendors,
  24. and using the workaround described in Section III until patches can be
  25. installed.
  26.  
  27. We will update this advisory as we receive additional information.
  28. Please check advisory files regularly for updates that relate to your site.
  29.  
  30. Although our CA-96.05 CERT advisory does not discuss JavaScript, there have
  31. been a series of recent postings to newsgroups concerning a vulnerability in
  32. the way Netscape Navigator (Version 2.0) supports JavaScript.
  33.  
  34. As a clarification to our readers, this problem is different from the problem
  35. described in advisory CA-96.05.
  36.  
  37. Netscape Version 2.01 is now available. This version addresses the Java Applet
  38. Security Manager and the JavaScript problems recently discussed.  For
  39. additional information about these issues and to obtain the new release,
  40. please see:
  41.  
  42.          http://home.netscape.com/eng/mozilla/2.01/relnotes/
  43.  
  44.  
  45. - -----------------------------------------------------------------------------
  46.  
  47. I.   Description
  48.  
  49.      There is a serious security problem with the Netscape Navigator 2.0 Java
  50.      implementation. The vulnerability is also present in the Java Developer's
  51.      Kit 1.0 from Sun Microsystems, Inc. The restriction allowing an applet to
  52.      connect only to the host from which it was loaded is not properly
  53.      enforced. This vulnerability, combined with the subversion of the DNS
  54.      system, allows an applet to open a connection to an arbitrary host on the
  55.      Internet. 
  56.  
  57.      In these Java implementations, the Applet Security Manager allows an
  58.      applet to connect to any of the IP addresses associated with the name
  59.      of the computer from which it came. This is a weaker policy than the
  60.      stated policy and leads to the vulnerability described herein.
  61.  
  62. II.  Impact
  63.  
  64.      Java applets can connect to arbitrary hosts on the Internet, including
  65.      those presumed to be previously inaccessible, such as hosts behind a
  66.      firewall. Bugs in any TCP/IP-based network service can then be exploited.
  67.      In addition, services previously thought to be secure by virtue of their
  68.      location behind a firewall can be attacked. 
  69.  
  70. III. Solution
  71.  
  72.      To fix this problem, the Applet Security Manager must be more strict
  73.      in deciding which hosts an applet is allowed to connect to. The Java
  74.      system needs to take note of the actual IP address that the applet truly
  75.      came from (getting that numerical address from the applet's packets as
  76.      the applet is being loaded), and thereafter allow the applet to connect
  77.      only to that same numerical address. 
  78.  
  79.      We urge you to obtain vendor patches as they become available.
  80.      Until you can install the patches that implement the more strict
  81.      applet connection restrictions, you should apply the workarounds
  82.      described in each section below.
  83.  
  84.      A. Netscape users
  85.  
  86.         For Netscape Navigator 2.0, use the following URL to learn more about
  87.         the problem and how to download and install a patch:
  88.  
  89.             http://home.netscape.com/newsref/std/java_security.html 
  90.    
  91.         Until you install the patch, disable Java using the "Security
  92.         Preferences" dialog box.
  93.          
  94.  
  95.      B. Sun users 
  96.  
  97.         A patch for Sun's HotJava will be available soon.
  98.  
  99.         Until you can install the patch, disable applet downloading by
  100.         selecting "Options" then "Security...". In the "Enter desired security
  101.         mode" menu, select the "No access" option.
  102.  
  103.         In addition, select the "Apply security mode to applet loading" to
  104.         disable applet loading entirely, regardless of the source of the
  105.         applet.  
  106.          
  107.  
  108.      C. Both Netscape and Sun users
  109.         
  110.         If you operate an HTTP proxy server, you could also disable
  111.         applets by refusing to fetch Java ".class" files. 
  112.  
  113.  
  114. - ---------------------------------------------------------------------------
  115. The CERT Coordination Center thanks Drew Dean, Ed Felton, and Dan Wallach of
  116. Princeton University for providing information for this advisory. We thank
  117. Netscape Communications Corporation, especially Jeff Truehaft, and Sun
  118. Microsystems, Inc., especially Marianne Mueller, for their response to this
  119. problem. 
  120. - ---------------------------------------------------------------------------
  121.  
  122. If you believe that your system has been compromised, contact the CERT
  123. Coordination Center or your representative in the Forum of Incident
  124. Response and Security Teams (FIRST).
  125.  
  126. We strongly urge you to encrypt any sensitive information you send by email.
  127. The CERT Coordination Center can support a shared DES key and PGP. Contact the
  128. CERT staff for more information. 
  129.  
  130. Location of CERT PGP key
  131.          ftp://info.cert.org/pub/CERT_PGP.key
  132.  
  133. CERT Contact Information
  134. - ------------------------
  135. Email    cert@cert.org
  136.  
  137. Phone    +1 412-268-7090 (24-hour hotline)
  138.                 CERT personnel answer 8:30-5:00 p.m. EST
  139.                 (GMT-5)/EDT(GMT-4), and are on call for
  140.                 emergencies during other hours.
  141.  
  142. Fax      +1 412-268-6989
  143.  
  144. Postal address
  145.         CERT Coordination Center
  146.         Software Engineering Institute
  147.         Carnegie Mellon University
  148.         Pittsburgh PA 15213-3890
  149.         USA
  150.  
  151. To be added to our mailing list for CERT advisories and bulletins, send your
  152. email address to
  153.         cert-advisory-request@cert.org
  154.  
  155. CERT publications, information about FIRST representatives, and other
  156. security-related information are available for anonymous FTP from
  157.         ftp://info.cert.org/pub/
  158.  
  159. CERT advisories and bulletins are also posted on the USENET newsgroup
  160.         comp.security.announce
  161.  
  162.  
  163. Copyright 1996 Carnegie Mellon University
  164. This material may be reproduced and distributed without permission provided it
  165. is used for noncommercial purposes and the copyright statement is included.
  166.  
  167. CERT is a service mark of Carnegie Mellon University.
  168.  
  169.  
  170. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  171. Revision history
  172.  
  173. Aug. 30, 1996  Information previously in the README was inserted into the
  174.                advisory.
  175.  
  176. Mar. 15, 1996  Introduction - added clarification on JavaScript and pointers to
  177.                Netscape Version 2.01.
  178.  
  179.  
  180.  
  181.  
  182. -----BEGIN PGP SIGNATURE-----
  183. Version: 2.6.2
  184.  
  185. iQCVAwUBMiTA+3VP+x0t4w7BAQFdVAQAwHytO8/JOLrJkzdlSLR9crWVigHxMak3
  186. ZC4U7jWsjlB2LG6dhwLg7G/G3ukbftfT6HqkImZFgaF15jVoyALtXEVzx1OYt3GR
  187. QMHU5jx7M4eMuJwDml5DcIWG8FTlFDzmyMrNsLn9iKc6T+UKF4Gi144CgONbWClr
  188. Y/ML45WaCpA=
  189. =jR81
  190. -----END PGP SIGNATURE-----
  191.  
  192.