Java Standard Tag Library XML folyamat sérülékenysége

CH azonosító

CH-13553

Angol cím

Java Standard Tag Library XML Processing Vulnerability

Felfedezés dátuma

2016.09.08.

Súlyosság

Közepes

Érintett rendszerek

CentOS
Enterprise Linux
Enterprise Linux Desktop
Enterprise Linux WS
JBoss Enterprise Application Platform
Red Hat
Server

Érintett verziók

Apache Standard Taglibs 1.0 (Base) | 1.1 (Base) | 1.2 (Base, .1)
CentOS 6 (.0 i386, .0 x86_64, .1 i386, .1 x86_64, .2 i386, .2 x86_64) | 7 (x86_64)
JBoss Enterprise Application Platform 6 EL5 (IA-32, x86_64) | 6 EL6 (IA-32, x86_64, PPC) | 6.4.0 (Base) | 7.0.1 (Base)
JBoss Enterprise SOA Platform 5.3.1 (Base)
Red Hat Enterprise Linux 6 (IA-32, PPC, s390, x86_64) | 7 (Base)
Red Hat Enterprise Linux Desktop 6 (IA-32, x86_64) | 7 (x86_64)
Red Hat Enterprise Linux HPC Node 6 (x86_64) | 7 (x86_64)
Red Hat Enterprise Linux Server 6 (IA-32, PPC, PPC 64, s390, s390x, x86_64) | 7 (x86_64, ppc, ppc64, s390, s390x)
Red Hat Enterprise Linux Workstation 6 (IA-32, x86_64) | 7 (x86_64)

Összefoglaló

A Java Standard Tag Library (JSTL) közepes kockázati besorolású sérülékenysége vált ismertté, amellyel a – hitelesítéssel nem rendelkező – támadó tetszőleges kódot futtathat az érintett rendszeren. A sérülékenységet kiküszöbölő megoldás már beszerezhető a gyártótól.

Leírás

A biztonsági rést a JSTL nem megfelelő, megbízhatatlan XML állományokat érintő feldolgozása okozza. A támadó a sérülékenységet egy speciálisan szerkesztett XML állomány útján használhatja ki, amellyel hozzáférhet a rendszer erőforrásaihoz, azon tetszőleges kódot futtathat.

Megoldás

Frissítsen a Apache Standard Taglibs 1.2.3-es vagy legújabb verziójára.