Miembros de
Boletines de Vulnerabilidades |
Vulnerabilidad en Sun JDK y JRE |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Denegación de Servicio |
| Dificultad | Experto |
| Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricante afectado | Comercial Software |
| Software afectado |
Sun JDK 6 <= Update 3 Sun JRE 6 <= Update 3 |
Descripción |
|
|
Se ha descubierto una vulnerabilidad en Sun JDK y JRE 6 Update 3 y anteriores. La vulnerabilidad reside en un error en el manejo de la propiedad "external general entities" que aunque tenga el valor "FALSE" permite el procesado de entidades XML externas. Un atacante remoto podría saltarse restricciones de seguridad y causar una denegación de servicio mediante documentos XML especialmente diseñados. Los datos XML tienen que ser procesados por un applet de confianza o una aplicación Java Web Start. |
|
Solución |
|
|
Actualización de software Sun(231246) Sun JDK 6 Update 4 Sun JRE 6 Update 4 http://java.sun.com/javase/downloads/index.jsp Red Hat (RHSA-2008:0245-2) RHEL Desktop Supplementary (v. 5 cliente) RHEL Supplementary (v. 5 servidor) https://rhn.redhat.com/ |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE | CVE-2008-0628 |
| BID | 27553 |
Recursos adicionales |
|
|
Sun Alert Notification (231246) http://sunsolve.sun.com/search/document.do?assetkey=1-66-231246-1 Red Hat Security Advisory (RHSA-2008:0245-2) http://rhn.redhat.com/errata/RHSA-2008-0245.html |
|
Histórico de versiones |
||
| Versión | Comentario | Fecha |
| 1.0 | Aviso emitido | 2008-02-01 |
| 1.1 | Aviso emitido por Red Hat (RHSA-2008:0245-2), CVE añadido, BID añadido | 2008-05-06 |