Sun Java Runtime Environment külső XML Entities biztonsági vizsgálatának megkerülése

CH azonosító

CH-958

Felfedezés dátuma

2008.01.31.

Súlyosság

Alacsony

Érintett rendszerek

Java Development Kit (JDK)
Java Runtime Environment (JRE)
Sun Microsystems

Érintett verziók

Sun Microsystems Java Runtime Environment (JRE) 1.6.x, 6.x
Sun Microsystems Java Development Kit (JDK) 1.6.x

Összefoglaló

A Sun elistert egy biztonsági hiányosságot a Sun Java Runtime Environment (JRE) szoftverében, melyet kihasználva rosszindulató támadók bizonyos biztonsági korlátozásokat kerülhetnek meg.

Leírás

A Sun elistert egy biztonsági hiányosságot a Sun Java Runtime Environment (JRE) szoftverében, melyet kihasználva rosszindulató támadók bizonyos biztonsági korlátozásokat kerülhetnek meg.

A biztonsági hiányosság oka, hogy a JRE feldolgoz külső XML egységek hivatkozásait is, annak ellenére, hogy az “external general entities” tulajdonság hamisra van állítva.

Ezt kihasználva például elérhetőek egyes URL-ek, vagy szolgáltatás megtagadás okozható egy rosszindulatú XML dokumentumon keresztül.

A sikeres kihasználás feltétele, hogy a rosszindulatú XML adatot egy megbízható applet vagy a Java Web Start alkalmazás dolgozza fel.

A biztonsági problémát a Sun JDK és JRE Update 3 és az azt megelőzőekben jelentették. A Sun JDK és JRE 5.0, és SDK és JDK 1.4.x és 1.3.x a jelentések szerint nem érintettek.

Megoldás

Frissítsen a legújabb verzióra

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-26630 – Microsoft Access RCE sebezhetősége
CVE-2025-30154 – reviewdog/action-setup GitHub Action Embedded Malicious Code sebezhetősége
CVE-2025-30066 – tj-actions/changed-files GitHub Action Embedded Malicious Code sebezhetősége
CVE-2025-24472 – Fortinet FortiOS and FortiProxy Authentication Bypass sebezhetősége
CVE-2017-12637 – SAP NetWeaver Directory Traversal sebezhetősége
CVE-2024-48248 – NAKIVO Backup and Replication Absolute Path Traversal sebezhetősége
CVE-2025-1316 – Edimax IC-7100 IP Camera OS Command Injection sebezhetősége
CVE-2019-9875 – Sitecore CMS and Experience Platform (XP) Deserialization sebezhetősége
CVE-2019-9874 – Sitecore CMS and Experience Platform (XP) Deserialization sebezhetősége
Tovább a sérülékenységekhez »