Sun Java Runtime Environment külső XML Entities biztonsági vizsgálatának megkerülése

CH azonosító

CH-958

Felfedezés dátuma

2008.01.31.

Súlyosság

Alacsony

Érintett rendszerek

Java Development Kit (JDK)
Java Runtime Environment (JRE)
Sun Microsystems

Érintett verziók

Sun Microsystems Java Runtime Environment (JRE) 1.6.x, 6.x
Sun Microsystems Java Development Kit (JDK) 1.6.x

Összefoglaló

A Sun elistert egy biztonsági hiányosságot a Sun Java Runtime Environment (JRE) szoftverében, melyet kihasználva rosszindulató támadók bizonyos biztonsági korlátozásokat kerülhetnek meg.

Leírás

A Sun elistert egy biztonsági hiányosságot a Sun Java Runtime Environment (JRE) szoftverében, melyet kihasználva rosszindulató támadók bizonyos biztonsági korlátozásokat kerülhetnek meg.

A biztonsági hiányosság oka, hogy a JRE feldolgoz külső XML egységek hivatkozásait is, annak ellenére, hogy az “external general entities” tulajdonság hamisra van állítva.

Ezt kihasználva például elérhetőek egyes URL-ek, vagy szolgáltatás megtagadás okozható egy rosszindulatú XML dokumentumon keresztül.

A sikeres kihasználás feltétele, hogy a rosszindulatú XML adatot egy megbízható applet vagy a Java Web Start alkalmazás dolgozza fel.

A biztonsági problémát a Sun JDK és JRE Update 3 és az azt megelőzőekben jelentették. A Sun JDK és JRE 5.0, és SDK és JDK 1.4.x és 1.3.x a jelentések szerint nem érintettek.

Megoldás

Frissítsen a legújabb verzióra