Sun Java系统服务器XSLT处理远程Java方式执行漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1189864 漏洞类型 输入验证
发布时间 2007-07-11 更新时间 2007-07-11
CVE编号 CVE-2007-3716 CNNVD-ID CNNVD-200707-209
漏洞平台 N/A CVSS评分 9.3
|漏洞来源
https://www.securityfocus.com/bid/83518
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200707-209
|漏洞详情
SunJava系统应用服务器是与J2EE平台兼容的应用服务器。SunJava在处理恶意XSLT样式表时存在漏洞,远程攻击者可能利用此漏洞控制用户系统。某些版本的SunJava系统应用服务器和SunJava系统Web服务器没有安全地处理XML签名的XSLT转换中的XSLT样式表,这可能允许执行恶意的XLST样式表,导致执行任意Java方式。
|受影响的产品
Sun JRE 6 Update 1 Sun JDK (Solaris Reference Release) 6 Update 1
|参考资料

来源:SUNALERT
名称:102993
链接:http://sunsolve.sun.com/search/document.do?assetkey=1-26-102993-1
来源:SECTRACK
名称:1018365
链接:http://www.securitytracker.com/id?1018365
来源:BUGTRAQ
名称:20070712Whitepaper:CommandInjectioninXMLDigitalSignaturesandEncryption
链接:http://www.securityfocus.com/archive/1/archive/1/473553/100/0/threaded
来源:BUGTRAQ
名称:20070712CommandInjectioninXMLDigitalSignatures
链接:http://www.securityfocus.com/archive/1/archive/1/473552/100/0/threaded
来源:MISC
链接:http://www.isecpartners.com/files/XMLDSIG_Command_Injection.pdf
来源:MISC
链接:http://www.isecpartners.com/advisories/2007-04-dsig.txt
来源:GENTOO
名称:GLSA-200709-15
链接:http://www.gentoo.org/security/en/glsa/glsa-200709-15.xml
来源:VUPEN
名称:ADV-2007-3009
链接:http://www.frsirt.com/english/advisories/2007/3009
来源:VUPEN
名称:ADV-2007-2492
链接:http://www.frsirt.com/english/advisories/2007/2492
来源:SECUNIA
名称:26933
链接:http://secunia.com/advisories/26933
来源:SECUNIA
名称:26631
链接:http://secunia.com/advisories/26631
来源:SECUNIA
名称:26031
链接:http://secunia