|
 |
|
Sun Java Runtime Environment externe XML-Entities Sicherheitsumgehung
|
|
|
|
|
Secunia Advisory:
|
SA28746
|
|
|
Herausgegeben:
|
2008-02-01
|
|
Last Update:
|
2008-02-07
|
|
|
Gefahrenstufe:
|
Weniger kritisch
|
|
Auswirkung:
|
Sicherheitsumgehung
|
|
Von Wo:
|
Aus dem Internet
|
|
Lösungsstatus:
|
Hersteller-Patch
|
|
| Software: | Sun Java JDK 1.6.x
Sun Java JRE 1.6.x / 6.x
|
| | CVE reference: | CVE-2008-0628 (Secunia mirror)
|
|
|
Want to know the next time vulnerabilities are fixed in this product?
- Companies can be alerted via email and SMS! |
|
|
Beschreibung:
Sun hat ein Sicherheitsproblem in Sun Java Runtime Environment (JRE) eingeräumt, welches böswillige Personen ausnutzen können, um bestimmte Sicherheitsrestriktionen zu umgehen.
Das Sicherheitsproblem wird verursacht, da die JRE externe XML-Entity-Referenzen verarbeitet, obwohl die Eigenschaft "external general entities" auf FALSE gesetzt ist. Dies kann durch bösartige XML-Dokumente ausgenutzt werden, um z.B. auf bestimmte URLs zuzugreifen oder einen DoS (Denial of Service) zu verursachen.
Eine erfolgreiche Ausnutzung setzt voraus, dass bösartige XML-Daten mit einem vertrauenswürdigen Applet oder einer vertrauenswürdigen Java Web Start-Anwendung verarbeitet werden.
Das Sicherheitsproblem ist in Sun JDK und JRE 6 Update 3 und früher gemeldet. Sun JDK und JRE 5.0 und SDK und JRE 1.4.x und 1.3.x sind angeblich nicht betroffen.
Do you have this product installed on your home computer? Scan using the free Personal Software Inspector. Check if a vulnerable version is installed on computers in your corporate network, using the Network Software Inspector.
Lösung:
Aktualisieren Sie auf JDK oder JRE 6 Update 4 oder höher.
http://java.sun.com/javase/downloads/index.jsp
JDK 6 Update 4 für Solaris ist zudem durch die folgenden Patches verfügbar:
Java SE 6 update 4 (Patch 125136-05 oder höher)
Java SE 6 update 4 (Patch 125137-05 oder höher (64bit))
Java SE 6 x86 update 4 (Patch 125138-05 oder höher)
Java SE 6 x86 update 4 (Patch 125139-05 oder höher (64bit))
Gemeldet und/oder entdeckt von:
Der Hersteller nennt Chris Evans und Johannes Henkel, Google Security Team.
Änderungen:
2008-02-04: "Original Advisory"-Abschnitt mit einem Link zum Entdecker aktualisiert.
2008-02-07: CVE-Referenz hinzugefügt.
Original Advisory:
Sun:
http://sunsolve.sun.com/search/document.do?assetkey=1-66-231246-1
Chris Evans:
http://scary.beasts.org/security/CESA-2007-002.html
|
|
|
|
|
Please note: The information that this Secunia Advisory is based on comes from a third party unless stated otherwise.
Secunia collects, validates, and verifies all vulnerability reports issued by security research groups, vendors, and others.
|
|
|
|
10 Related Secunia Security Advisories
|
|
|
1. Sun Java JDK / JRE Mehrere Sicherheitslücken
|
|
2. Sun Java JDK / JRE Mehrere Sicherheitslücken
|
|
3. Sun JRE Applet-Verwaltung Zwei Sicherheitslücken
|
|
4. Sun JRE Applet-Verwaltung Sicherheitslücke
|
|
5. Sun Java JRE mehrere Sicherheitslücken
|
|
6. Sun Java JRE/JDK Verarbeitung von XSLT-Stylesheets in XML-Signaturen Sicherheitslücke
|
|
7. Java JRE/JDK JSSE DoS und Sicherheitsumgehung
|
|
8. Sun Java Web Start Verarbeitung von JNLP-Dateien Pufferüberlauf
|
|
9. Sun JDK JavaDoc Cross-Site-Scripting-Sicherheitslücke
|
|
10. Sun JDK und JRE ICC- und BMP-Parser Sicherheitslücken
|
|
|
Send Feedback to Secunia
|
|
If you have new information regarding this Secunia advisory or a product in our database, please send it to us using either our web form or email us at vuln@secunia.com.
Ideas, suggestions, and other feedback are most welcome.
|
|
|
|
|
|
Secunia PSI
Scan | Patch | Track
Free Download
|
|
|
Secunia Poll
|
|
|
|
|
 |
|
|
Most Popular Advisories
|
|
|
|
|
|
