Sun Java Runtime Environment külső XML Entities biztonsági vizsgálatának megkerülése

CH azonosító

CH-958

Felfedezés dátuma

2008.01.31.

Súlyosság

Alacsony

Érintett rendszerek

Java Development Kit (JDK)
Java Runtime Environment (JRE)
Sun Microsystems

Érintett verziók

Sun Microsystems Java Runtime Environment (JRE) 1.6.x, 6.x
Sun Microsystems Java Development Kit (JDK) 1.6.x

Összefoglaló

A Sun elistert egy biztonsági hiányosságot a Sun Java Runtime Environment (JRE) szoftverében, melyet kihasználva rosszindulató támadók bizonyos biztonsági korlátozásokat kerülhetnek meg.

Leírás

A Sun elistert egy biztonsági hiányosságot a Sun Java Runtime Environment (JRE) szoftverében, melyet kihasználva rosszindulató támadók bizonyos biztonsági korlátozásokat kerülhetnek meg.

A biztonsági hiányosság oka, hogy a JRE feldolgoz külső XML egységek hivatkozásait is, annak ellenére, hogy az “external general entities” tulajdonság hamisra van állítva.

Ezt kihasználva például elérhetőek egyes URL-ek, vagy szolgáltatás megtagadás okozható egy rosszindulatú XML dokumentumon keresztül.

A sikeres kihasználás feltétele, hogy a rosszindulatú XML adatot egy megbízható applet vagy a Java Web Start alkalmazás dolgozza fel.

A biztonsági problémát a Sun JDK és JRE Update 3 és az azt megelőzőekben jelentették. A Sun JDK és JRE 5.0, és SDK és JDK 1.4.x és 1.3.x a jelentések szerint nem érintettek.

Megoldás

Frissítsen a legújabb verzióra

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-20236 – Cisco Webex App sebezhetősége
CVE-2017-5754 – Linux Kernel sebezhetősége
CVE-2014-0160 – OpenSSL Information Disclosure sebezhetősége
CVE-2025-23010 – SonicWall NetExtender Improper Link Resolution Before File Access ('Link Following') sebezhetősége
CVE-2025-23009 – SonicWall NetExtender Local Privilege Escalation sebezhetősége
CVE-2025-23008 – SonicWall NetExtender Improper Privilege Management sebezhetősége
CVE-2024-0132 – NVIDIA Container Toolkit sérülékenysége
CVE-2025-3102 – SureTriggers sérülékenysége
CVE-2025-24859 – Apache Roller sebezhetősége
Tovább a sérülékenységekhez »