Security Lab

Уязвимость в обработке отозванных сертификатов в Sun Java System Web Server

Дата публикации:19.03.2007
Дата изменения:27.01.2008
Всего просмотров:1407
Опасность:
Низкая
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Обход ограничений безопасности
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Sun Java System Web Server (Sun ONE/iPlanet) 6.x
Уязвимые версии: Sun Java System Web Server (Sun ONE/iPlanet) 6.x

Описание:
Уязвимость позволяет удаленному пользователю обойти некоторые ограничения безопасности.

Уязвимость существует из-за ошибки в приложении, если защищенный экземпляр Web сервера запущен от имени непривилегированного пользователя с помощью административного сервера, и административный сервер сконфигурирован на запуск из под учетной записи root. Злоумышленник может получить доступ к экземпляру Web сервера используя отозванный клиентский сертификат, даже если Certificate Revocation List (CRL) файл установлен для этого экземпляра приложения.

URL производителя: www.sun.com

Решение: Установите исправление с сайта производителя.

-- SPARC Platform --

Установите Service Pack 7 for Sun Java System Web Server 6.1 или примените
патч 116648-19 или выше.
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-116648-19-1

-- x86 Platform --

Установите Service Pack 7 for Sun Java System Web Server 6.1 или примените
патч 116649-19 или выше.
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-116649-19-1

-- Linux Platform --

Установите Service Pack 7 for Sun Java System Web Server 6.1 или примените
патч 118202-11 или выше.
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-118202-11-1

-- AIX Platform --

Установите Service Pack 7 for Sun Java System Web Server 6.1.

-- HP-UX Platform --

Установите Service Pack 7 for Sun Java System Web Server 6.1

Sun Java System Web Server 6.1 Service Pack 7 is available at:
http://www.sun.com/download/products.xml?id=45c90ca9

Ссылки: Sun Java System Web Server May Allow A User with Revoked Client Certificate to Access Server Instance Under Certain Conditions