Java Hash Collision 拒绝服务漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1207763 漏洞类型 加密问题
发布时间 2011-12-28 更新时间 2012-06-18
CVE编号 CVE-2012-2739 CNNVD-ID CNNVD-201206-307
漏洞平台 N/A CVSS评分 5.0
|漏洞来源
https://www.securityfocus.com/bid/51236
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201206-307
|漏洞详情
OracleJavaSE是美国甲骨文(Oracle)公司的一套标准版Java平台,用于开发和部署桌面、服务器以及嵌入设备和实时环境中的Java应用程序。OracleJavaSE7Update6之前版本、OpenJDK77u6build12之前版本、8build39之前版本中存在漏洞,该漏洞源于计算哈希值没有限制触发可预测的哈希冲突。依赖于上下文的攻击者利用该漏洞通过特制的输入到保留哈希表的应用程序,导致拒绝服务(CPU消耗)。
|受影响的产品
Sun JRE (Windows Production Release) 1.6 _17 Sun JRE (Windows Production Release) 1.6 _13 Sun JRE (Windows Production Release) 1.6 _12 Sun JRE (Windows Production Release) 1.6 _10 Sun JRE (Wi
|参考资料

来源:US-CERTVulnerabilityNote:VU#903934
名称:VU#903934
链接:http://www.kb.cert.org/vuls/id/903934
来源:bugzilla.redhat.com
链接:https://bugzilla.redhat.com/show_bug.cgi?id=750533
来源:MLIST
名称:[oss-security]20120616Re:CVErequest:javahashdosvulnerability
链接:http://www.openwall.com/lists/oss-security/2012/06/17/1
来源:MLIST
名称:[oss-security]20120615CVErequest:javahashdosvulnerability
链接:http://www.openwall.com/lists/oss-security/2012/06/15/12
来源:www.ocert.org
链接:http://www.ocert.org/advisories/ocert-2011-003.html
来源:www.nruns.com
链接:http://www.nruns.com/_downloads/advisory28122011.pdf
来源:MLIST
名称:[core-libs-dev]20120522ReviewRequestCR#7118743:AlternativeHashingforStringwithHash-basedMaps
链接:http://mail.openjdk.java.net/pipermail/core-libs-dev/2012-May/010238.html
来源:armoredbarista.blogspot.de
链接:http://armoredbarista.blogspot.de/2012/02/investigating-hashdos-issue.html
来源:BID
名称:51236
链接:http://www.securityfocus.com/bid/51236