CH azonosító
CH-4397Angol cím
IBM CICS Transaction Gateway Java Double Literal Parsing Denial of ServiceFelfedezés dátuma
2011.02.16.Súlyosság
AlacsonyÉrintett rendszerek
CICS Transaction GatewayIBM
Érintett verziók
IBM CICS Transaction Gateway 6.x, 7.x, 8.x
Összefoglaló
Az IBM ismertette a CICS Transaction Gateway egy olyan sérülékenységét, amelyet a támadók kihasználhatnak szolgáltatás megtagadás (DoS – Denial of Service) okozására.
Leírás
A CICS Transaction Gateway (CICS TG) sérülékenységét az okozza, hogy a Java Runtime Environment (JRE) egy súlyos biztonsági hibáján keresztül érintetté vált.
A sérülékenységet a FloatingDecimal.java-ban található “doubleValue()” eljárás hibája okozza a “2.2250738585072012e-308” érték karakterláncból (string) dupla pontosságú lebegőpontos számmá történő konvertálásakor. Ezt kihasználva végtelen ciklus idézhető elő.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.ibm.com
SECUNIA 43378
SECUNIA 43262
SECUNIA 43295
CERT-Hungary CH-4336
CVE-2010-4476 - NVD CVE-2010-4476