int(2488)

Boletines de Vulnerabilidades

Cross-Site Scripting en Sun ONE y Sun Java System application server

Clasificación de la vulnerabilidad
Propiedad Valor
Nivel de Confianza Oficial
Impacto Aumento de la visibilidad
Dificultad Avanzado
Requerimientos del atacante Acceso remoto sin cuenta a un servicio exotico

Información sobre el sistema
Propiedad Valor
Fabricante afectado GNU/Linux
Software afectado Sun ONE Application Server 7
Sun Java System Application Server 7
Sun Java System Applciation Server Enterprise Edition 8.1

Descripción
Se ha descubierto una vulnerabilidad en Sun ONE y Sun Java System Application Server. La vulnerabilidad reside en un error al validar la entrada del usuario.

Un atacante remoto podría ejecutar código HTML y Web Script para realizar ataques Cross-Site Scripting (XSS).

Solución


Actualización de software

Sun
Sun ONE Application Server 7 / SPARC, x86, Linux, Windows / Update 9
Sun Java System Application Server 7 2004Q2 / SPARC, x86, Linux, Windows / Update 5
http://www.sun.com/download/index.jsp?cat=Application%20%26%20Integration%20Services&tab=3
Sun Java System Application Server Enterprise Edition 8.1 / SPARC / 2005Q1 with (file based) patch 119169-08
Sun Java System Application Server Enterprise Edition 8.1 / SPARC / 2005Q1 with (SVR4) patch 119166-16
Sun Java System Application Server Enterprise Edition 8.1 2005Q1 / x86 / (file based) patch 119170-08
Sun Java System Application Server Enterprise Edition 8.1 2005Q1 / x86 / (SVR4) patch 119167-16
Sun Java System Application Server Enterprise Edition 8.1 2005Q1 / Linux / patch 119171-08
Sun Java System Application Server Enterprise Edition 8.1 2005Q1 / Linux / RHEL2.1/RHEL3.0 (Pkg_patch) 119168-16
Sun Java System Application Server Enterprise Edition 8.1 2005 Q1 / Windows / patch 119172-08
http://sunsolve.sun.com/pub-cgi/show.pl?target=patchpage

Identificadores estándar
Propiedad Valor
CVE
BID

Recursos adicionales
Sun Alert Notification (102479)
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102479-1

Histórico de versiones
Versión Comentario Fecha
1.0 Aviso emitido 2006-06-26

Miembros de

CERT
FIRST
TF-CSIRT
EGC Group
UE
Red Nacional de SOC
Foro Nacional de Ciberseguridad
CSIRT.es
Ministerio de Defensa
CNI
CCN
CCN-CERT