Vulnerability Bulletins |
Vulnerabilidad en Sun JDK y JRE |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Denegación de Servicio |
| Dificulty | Experto |
| Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
| Property | Value |
| Affected manufacturer | Comercial Software |
| Affected software |
Sun JDK 6 <= Update 3 Sun JRE 6 <= Update 3 |
Description |
|
|
Se ha descubierto una vulnerabilidad en Sun JDK y JRE 6 Update 3 y anteriores. La vulnerabilidad reside en un error en el manejo de la propiedad "external general entities" que aunque tenga el valor "FALSE" permite el procesado de entidades XML externas. Un atacante remoto podría saltarse restricciones de seguridad y causar una denegación de servicio mediante documentos XML especialmente diseñados. Los datos XML tienen que ser procesados por un applet de confianza o una aplicación Java Web Start. |
|
Solution |
|
|
Actualización de software Sun(231246) Sun JDK 6 Update 4 Sun JRE 6 Update 4 http://java.sun.com/javase/downloads/index.jsp Red Hat (RHSA-2008:0245-2) RHEL Desktop Supplementary (v. 5 cliente) RHEL Supplementary (v. 5 servidor) https://rhn.redhat.com/ |
|
Standar resources |
|
| Property | Value |
| CVE | CVE-2008-0628 |
| BID | 27553 |
Other resources |
|
|
Sun Alert Notification (231246) http://sunsolve.sun.com/search/document.do?assetkey=1-66-231246-1 Red Hat Security Advisory (RHSA-2008:0245-2) http://rhn.redhat.com/errata/RHSA-2008-0245.html |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2008-02-01 |
| 1.1 | Aviso emitido por Red Hat (RHSA-2008:0245-2), CVE añadido, BID añadido | 2008-05-06 |