发布日期：2003-10-31
更新日期：2003-11-07

受影响系统：

Sun JRE (Linux Production Release) 1.4.2_02
Sun JRE (Linux Production Release) 1.4.2
Sun SDK (Linux Production Release) 1.4.2_02
Sun SDK (Linux Production Release) 1.4.2

描述：

---

BUGTRAQ  ID: 8937
CVE(CAN) ID: CVE-2003-1156

Sun Java 2 SDK是一款Java实现平台。

Sun Java实现在安装过程中建立不安全临时文件，本地攻击者可以利用这个漏洞通过符号连接，对系统进行拒绝服务等攻击。

当在Linux上安装Java的时会有不安全临时外呢件建立。当下载Linux的.bin或rpm.bin安装程序后，允许.bin和接收许可或安装rpm时，Sun会调用自己的unpack程序进行解包，程序存储在/usr/java/j2re<version>/lib/unpack，在安装之后会删除，每次Unpack调用会建立临时文件/tmp/unpack.log，因此通过简单的符号链接可以覆盖系统中的重要文件，可能导致系统崩溃。

另外postinstall脚本也不安全的建立/tmp/.mailcap1和/tmp/.mime.types1临时文件，同样存在符号连接攻击问题。

<*来源：Stan Bubrouski （stan@ccs.neu.edu）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=106761917406681&w=2
*>

建议：

---

厂商补丁：

Sun
---
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://java.sun.com/j2se/

浏览次数：3092
严重程度：0（网友投票）