Érintett rendszerek
Java Development Kit (JDK)Java Runtime Environment (JRE)
Sun Microsystems
Érintett verziók
Sun Microsystems Java Runtime Environment (JRE) 1.6.x, 6.x
Sun Microsystems Java Development Kit (JDK) 1.6.x
Összefoglaló
A Sun elistert egy biztonsági hiányosságot a Sun Java Runtime Environment (JRE) szoftverében, melyet kihasználva rosszindulató támadók bizonyos biztonsági korlátozásokat kerülhetnek meg.
Leírás
A Sun elistert egy biztonsági hiányosságot a Sun Java Runtime Environment (JRE) szoftverében, melyet kihasználva rosszindulató támadók bizonyos biztonsági korlátozásokat kerülhetnek meg.
A biztonsági hiányosság oka, hogy a JRE feldolgoz külső XML egységek hivatkozásait is, annak ellenére, hogy az “external general entities” tulajdonság hamisra van állítva.
Ezt kihasználva például elérhetőek egyes URL-ek, vagy szolgáltatás megtagadás okozható egy rosszindulatú XML dokumentumon keresztül.
A sikeres kihasználás feltétele, hogy a rosszindulatú XML adatot egy megbízható applet vagy a Java Web Start alkalmazás dolgozza fel.
A biztonsági problémát a Sun JDK és JRE Update 3 és az azt megelőzőekben jelentették. A Sun JDK és JRE 5.0, és SDK és JDK 1.4.x és 1.3.x a jelentések szerint nem érintettek.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Misconfiguration (Konfiguráció)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: java.sun.com
SECUNIA 28746