home *** CD-ROM | disk | FTP | other *** search
/ Chaos Computer Club 1997 February / cccd_beta_feb_97.iso / contrib / cert / ca9605 < prev    next >
PGP Signed Message  |  1997-02-28  |  7KB  |  190 lines
  1. -----BEGIN PGP SIGNED MESSAGE-----
  2.  
  3. =============================================================================
  4. CERT(sm) Advisory CA-96.05
  5. Original issue date: March 5, 1996
  6. Last revised: August 30, 1996
  7.               Information previously in the README was inserted
  8.               into the advisory.
  9.  
  10.               A complete revision history is at the end of this file.
  11.  
  12. Topic: Java Implementations Can Allow Connections to an Arbitrary Host
  13. - -----------------------------------------------------------------------------
  14.  
  15. The CERT Coordination Center has received reports of a vulnerability in
  16. implementations of the Java Applet Security Manager. This vulnerability is
  17. present in the Netscape Navigator 2.0 Java implementation and in Release
  18. 1.0 of the Java Developer's Kit from Sun Microsystems, Inc. These
  19. implementations do not correctly implement the policy that an applet may
  20. connect only to the host from which the applet was loaded.
  21.  
  22. The CERT Coordination Center recommends installing patches from the vendors,
  23. and using the workaround described in Section III until patches can be
  24. installed.
  25.  
  26. We will update this advisory as we receive additional information.
  27. Please check advisory files regularly for updates that relate to your site.
  28.  
  29. Although our CA-96.05 CERT advisory does not discuss JavaScript, there have
  30. been a series of recent postings to newsgroups concerning a vulnerability in
  31. the way Netscape Navigator (Version 2.0) supports JavaScript.
  32.  
  33. As a clarification to our readers, this problem is different from the problem
  34. described in advisory CA-96.05.
  35.  
  36. Netscape Version 2.01 is now available. This version addresses the Java Applet
  37. Security Manager and the JavaScript problems recently discussed.  For
  38. additional information about these issues and to obtain the new release,
  39. please see:
  40.  
  41.          http://home.netscape.com/eng/mozilla/2.01/relnotes/
  42.  
  43.  
  44. - -----------------------------------------------------------------------------
  45.  
  46. I.   Description
  47.  
  48.      There is a serious security problem with the Netscape Navigator 2.0 Java
  49.      implementation. The vulnerability is also present in the Java Developer's
  50.      Kit 1.0 from Sun Microsystems, Inc. The restriction allowing an applet to
  51.      connect only to the host from which it was loaded is not properly
  52.      enforced. This vulnerability, combined with the subversion of the DNS
  53.      system, allows an applet to open a connection to an arbitrary host on the
  54.      Internet. 
  55.  
  56.      In these Java implementations, the Applet Security Manager allows an
  57.      applet to connect to any of the IP addresses associated with the name
  58.      of the computer from which it came. This is a weaker policy than the
  59.      stated policy and leads to the vulnerability described herein.
  60.  
  61. II.  Impact
  62.  
  63.      Java applets can connect to arbitrary hosts on the Internet, including
  64.      those presumed to be previously inaccessible, such as hosts behind a
  65.      firewall. Bugs in any TCP/IP-based network service can then be exploited.
  66.      In addition, services previously thought to be secure by virtue of their
  67.      location behind a firewall can be attacked. 
  68.  
  69. III. Solution
  70.  
  71.      To fix this problem, the Applet Security Manager must be more strict
  72.      in deciding which hosts an applet is allowed to connect to. The Java
  73.      system needs to take note of the actual IP address that the applet truly
  74.      came from (getting that numerical address from the applet's packets as
  75.      the applet is being loaded), and thereafter allow the applet to connect
  76.      only to that same numerical address. 
  77.  
  78.      We urge you to obtain vendor patches as they become available.
  79.      Until you can install the patches that implement the more strict
  80.      applet connection restrictions, you should apply the workarounds
  81.      described in each section below.
  82.  
  83.      A. Netscape users
  84.  
  85.         For Netscape Navigator 2.0, use the following URL to learn more about
  86.         the problem and how to download and install a patch:
  87.  
  88.             http://home.netscape.com/newsref/std/java_security.html 
  89.    
  90.         Until you install the patch, disable Java using the "Security
  91.         Preferences" dialog box.
  92.          
  93.  
  94.      B. Sun users 
  95.  
  96.         A patch for Sun's HotJava will be available soon.
  97.  
  98.         Until you can install the patch, disable applet downloading by
  99.         selecting "Options" then "Security...". In the "Enter desired security
  100.         mode" menu, select the "No access" option.
  101.  
  102.         In addition, select the "Apply security mode to applet loading" to
  103.         disable applet loading entirely, regardless of the source of the
  104.         applet.  
  105.          
  106.  
  107.      C. Both Netscape and Sun users
  108.         
  109.         If you operate an HTTP proxy server, you could also disable
  110.         applets by refusing to fetch Java ".class" files. 
  111.  
  112.  
  113. - ---------------------------------------------------------------------------
  114. The CERT Coordination Center thanks Drew Dean, Ed Felton, and Dan Wallach of
  115. Princeton University for providing information for this advisory. We thank
  116. Netscape Communications Corporation, especially Jeff Truehaft, and Sun
  117. Microsystems, Inc., especially Marianne Mueller, for their response to this
  118. problem. 
  119. - ---------------------------------------------------------------------------
  120.  
  121. If you believe that your system has been compromised, contact the CERT
  122. Coordination Center or your representative in the Forum of Incident
  123. Response and Security Teams (FIRST).
  124.  
  125. We strongly urge you to encrypt any sensitive information you send by email.
  126. The CERT Coordination Center can support a shared DES key and PGP. Contact the
  127. CERT staff for more information. 
  128.  
  129. Location of CERT PGP key
  130.          ftp://info.cert.org/pub/CERT_PGP.key
  131.  
  132. CERT Contact Information
  133. - ------------------------
  134. Email    cert@cert.org
  135.  
  136. Phone    +1 412-268-7090 (24-hour hotline)
  137.                 CERT personnel answer 8:30-5:00 p.m. EST
  138.                 (GMT-5)/EDT(GMT-4), and are on call for
  139.                 emergencies during other hours.
  140.  
  141. Fax      +1 412-268-6989
  142.  
  143. Postal address
  144.         CERT Coordination Center
  145.         Software Engineering Institute
  146.         Carnegie Mellon University
  147.         Pittsburgh PA 15213-3890
  148.         USA
  149.  
  150. To be added to our mailing list for CERT advisories and bulletins, send your
  151. email address to
  152.         cert-advisory-request@cert.org
  153.  
  154. CERT publications, information about FIRST representatives, and other
  155. security-related information are available for anonymous FTP from
  156.         ftp://info.cert.org/pub/
  157.  
  158. CERT advisories and bulletins are also posted on the USENET newsgroup
  159.         comp.security.announce
  160.  
  161.  
  162. Copyright 1996 Carnegie Mellon University
  163. This material may be reproduced and distributed without permission provided it
  164. is used for noncommercial purposes and the copyright statement is included.
  165.  
  166. CERT is a service mark of Carnegie Mellon University.
  167.  
  168.  
  169. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  170. Revision history
  171.  
  172. Aug. 30, 1996  Information previously in the README was inserted into the
  173.                advisory.
  174.  
  175. Mar. 15, 1996  Introduction - added clarification on JavaScript and pointers to
  176.                Netscape Version 2.01.
  177.  
  178.  
  179.  
  180.  
  181. -----BEGIN PGP SIGNATURE-----
  182. Version: 2.6.2
  183.  
  184. iQCVAwUBMiTA+3VP+x0t4w7BAQFdVAQAwHytO8/JOLrJkzdlSLR9crWVigHxMak3
  185. ZC4U7jWsjlB2LG6dhwLg7G/G3ukbftfT6HqkImZFgaF15jVoyALtXEVzx1OYt3GR
  186. QMHU5jx7M4eMuJwDml5DcIWG8FTlFDzmyMrNsLn9iKc6T+UKF4Gi144CgONbWClr
  187. Y/ML45WaCpA=
  188. =jR81
  189. -----END PGP SIGNATURE-----
  190.