CH azonosító
CH-13553Angol cím
Java Standard Tag Library XML Processing VulnerabilityFelfedezés dátuma
2016.09.08.Súlyosság
KözepesÉrintett rendszerek
CentOSEnterprise Linux
Enterprise Linux Desktop
Enterprise Linux WS
JBoss Enterprise Application Platform
Red Hat
Server
Érintett verziók
Apache Standard Taglibs 1.0 (Base) | 1.1 (Base) | 1.2 (Base, .1)
CentOS 6 (.0 i386, .0 x86_64, .1 i386, .1 x86_64, .2 i386, .2 x86_64) | 7 (x86_64)
JBoss Enterprise Application Platform 6 EL5 (IA-32, x86_64) | 6 EL6 (IA-32, x86_64, PPC) | 6.4.0 (Base) | 7.0.1 (Base)
JBoss Enterprise SOA Platform 5.3.1 (Base)
Red Hat Enterprise Linux 6 (IA-32, PPC, s390, x86_64) | 7 (Base)
Red Hat Enterprise Linux Desktop 6 (IA-32, x86_64) | 7 (x86_64)
Red Hat Enterprise Linux HPC Node 6 (x86_64) | 7 (x86_64)
Red Hat Enterprise Linux Server 6 (IA-32, PPC, PPC 64, s390, s390x, x86_64) | 7 (x86_64, ppc, ppc64, s390, s390x)
Red Hat Enterprise Linux Workstation 6 (IA-32, x86_64) | 7 (x86_64)
Összefoglaló
A Java Standard Tag Library (JSTL) közepes kockázati besorolású sérülékenysége vált ismertté, amellyel a – hitelesítéssel nem rendelkező – támadó tetszőleges kódot futtathat az érintett rendszeren. A sérülékenységet kiküszöbölő megoldás már beszerezhető a gyártótól.
Leírás
A biztonsági rést a JSTL nem megfelelő, megbízhatatlan XML állományokat érintő feldolgozása okozza. A támadó a sérülékenységet egy speciálisan szerkesztett XML állomány útján használhatja ki, amellyel hozzáférhet a rendszer erőforrásaihoz, azon tetszőleges kódot futtathat.
Megoldás
Frissítsen a Apache Standard Taglibs 1.2.3-es vagy legújabb verziójára.
Támadás típusa
System access (Rendszer hozzáférés)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: tools.cisco.com
Gyártói referencia: rhn.redhat.com
Gyártói referencia: tomcat.apache.org
CVE-2015-0254 - NVD CVE-2015-0254
CVE-2016-4993 - NVD CVE-2016-4993
CVE-2016-5406 - NVD CVE-2016-5406