CH azonosító
CH-10657Angol cím
Apache Camel XSLT XML External Entities and Arbitrary Code Execution VulnerabilitiesFelfedezés dátuma
2014.03.02.Súlyosság
MagasÖsszefoglaló
Két sérülékenységet jelentettek Apache Camel-nél, amelyet kihasználva a rosszindulatú felhasználók megszerezhetnek érzékeny információkat, és képesek a sérülékeny rendszer feltörésére.
Leírás
Két sérülékenységet jelentettek Apache Camel-nél, amelyet kihasználva a rosszindulatú felhasználók megszerezhetnek érzékeny információkat, és képesek a sérülékeny rendszer feltörésére.
1) A hiba az XSLT komponens elemzésekor jeletkezik, az XML entitások kihasználhatóak pl. hogy nyilvánossá tegyenek helyi forrású adatokat egy speciálisan erre a célra elkészített XML dokumentumban, többek között a külső entitás hivatkozásokat.
2)A hiba az XSLT komponens elemzésekor jelentkezik, az XSLT stíluslapok kihasználhatóak külső Java módszerek hívásakor és később tetszőleges Java kód futtatására.
A sérülékenységek a 2.12.3 és a 2.11.4 előtti verziókban vannak jelen.
Megoldásként frissítsen a 2.12.3 vagy 2.11.4 .verzióra.
Megoldás
Frissítsen a legújabb verzióraMegoldás
Megoldásként frissítsen a 2.12.3 vagy 2.11.4 .verzióra.
Támadás típusa
Information disclosure (Információ/adat szivárgás)System access (Rendszer hozzáférés)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 57125
CVE-2014-0002 - NVD CVE-2014-0002
CVE-2014-0003 - NVD CVE-2014-0003