Sun Java JRE External XML エンティティの制限バイパス(231246)(Unix)

high Nessus プラグイン ID 64825

概要

リモート Unix ホストに、セキュリティバイパス脆弱性の影響を受けるアプリケーションがあります。

説明

そのバージョン番号によると、リモートホストにインストールされている Sun Java Runtime Environment(JRE)は、「external general entities」プロパティが「FALSE」に設定されているときでも、外部エンティティ参照の処理を許すと報告されています。このため、アプリケーションが、ファイルまたは Web ページなどの特定の URL リソースにアクセスしたり、システムに対する DoS 攻撃(サービス拒否攻撃)を実行したりする可能性があります。

注意:悪用が成功するには、特別に細工された XML データが、信頼できないアプレットまたは Java Web Start アプリケーションではなく、信頼されるアプリケーションにより処理されることが必要です。

ソリューション

Sun JDK および JRE 6 Update 4 以降にアップグレードしてください。

参考資料

https://seclists.org/bugtraq/2008/Feb/7

https://download.oracle.com/sunalerts/1018967.1.html

プラグインの詳細

深刻度: High

ID: 64825

ファイル名: sun_java_jre_231246_unix.nasl

バージョン: 1.10

タイプ: local

エージェント: unix

ファミリー: Misc.

公開日: 2013/2/22

更新日: 2022/4/11

設定: 徹底したチェックを有効にする

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.2

CVSS v2

リスクファクター: High

基本値: 7.8

現状値: 5.8

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:C

CVSS スコアのソース: CVE-2008-0628

脆弱性情報

CPE: cpe:/a:oracle:jre

必要な KB アイテム: Host/Java/JRE/Installed

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2008/1/30

参照情報

CVE: CVE-2008-0628

BID: 27553

CWE: 264