Se ha encontrado una vulnerabilidad en Sun Java Runtime Environment que podría permitir a un atacante provocar una denegación de servicio o eludir restricciones de seguridad.
El fallo se debe a un problema a la hora de menejar la propiedad «external general entities». Un atacante podría obligar al proceso de referencias a entidades externas (aunque el valor “external general entities” se establezca a FALSE) y acceder a direcciones URL o provocar una denegación de servicio. El atacante tendría que crear un archivo XML especialmente manipulado y ser procesado por una aplicación vulnerable.
El fallo ha sido solucionado en JDK y JRE 6 Update 4 disponible desde:
http://java.sun.com/javase/downloads/index.jsp
JDK 6 Update 4 para Solaris está disponible desde:
Java SE 6 update 4:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-125136-05-1
Java SE 6 update 4:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-125137-05-1
Java SE 6 x86 update 4:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-125138-05-1
Java SE 6 x86 update 4:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-125139-05-1
laboratorio@hispasec.com
Más información:
A Vulnerability in the Java Runtime Environment XML Parsing Code May Allow URL Resources to be Accessed
http://sunsolve.sun.com/search/document.do?assetkey=1-66-231246-1
Deja una respuesta