c.m.g
30-06-2008, 16:50
30 giugno 2008
La società di sicurezza Secunia (http://secunia.com/) ha riportato un Advisory SA30893 (http://secunia.com/advisories/30893/) in cui si spiega che è stata trovata una vulnerabilità, giudicata dalla stessa come Moderately critical in Sun Java Access Manager, che potrebbe essere usata da malintenzionati per compromettere un sistema vulnerabile.
La vulnerabilità è causata da un errore del processing degli XSLT stylesheets contenenti negli XSLT Transforms nelle firme XML. Questo errore può essere sfruttato da attacker per eseguire codice arbitrario malevolo tramite una firma XML malevola.
Per far si che questo exploit venga sfruttato si necessita che la verifica delle firme XML siano settate in Access Manager.
Software colpiti:
Sun Java System Access Manager 6.x
Sun Java System Access Manager 7.x
Soluzione:
Applicare la relativa patch.
-- Piattaforma SPARC --
Sun Java System Access Manager 7.1 (per Solaris 8, 9, e 10):
Applicare la patch 126356-01 o superiore.
Sun Java System Access Manager 7 2005Q4 (per Solaris 8, 9, e 10):
Applicare la patch 120954-06 o superiore.
Sun Java System Access Manager 6.3 2005Q1 (per Solaris 8, 9, e 10):
Applicare la patch 119465-12 o superiore.
Sun Java System Identity Server 6.2 (per Solaris 8 e 9):
Applicare la patch 115766-15 o superiore.
Sun Java System Identity Server 6.1 (per Solaris 8 and 9):
Applicare la patch 117586-22 o superiore.
-- x86 Platform --
Sun Java System Access Manager 7.1 (per Solaris 8, 9, e 10):
Applicare la patch 126357-01 o superiore.
Sun Java System Access Manager 7 2005Q4 (per Solaris 9 e 10):
Applicare la patch 120955-06 o superiore.
Sun Java System Access Manager 6.3 2005Q1 (per Solaris 8, 9, e 10):
Applicare la patch 119465-12 o superiore.
Sun Java System Identity Server 6.2 (per Solaris 8 e 9):
Applicare la patch 120091-15 o superiore.
-- Linux --
Sun Java System Access Manager 7.1:
Applicare la patch 126358-01 o superiore.
Sun Java System Access Manager 7 2005Q4:
Applicare la patch 120956-06 o superiore.
Sun Java System Access Manager 6.3 2005Q1:
Applicare la patch 119502-12 o superiore.
-- Windows --
Sun Java System Access Manager 7.1:
Applicare la patch 126359-01 o superiore.
Sun Java System Access Manager 7 2005Q4:
Applicare la patch 124296-06 o superiore.
Bug scoperto da:
Il produttore ringrazia Brad Hill, iSEC Partners.
Advisory d'origine:
http://sunsolve.sun.com/search/document.do?assetkey=1-66-201538-1
Fonte: Secunia (http://secunia.com/advisories/30893/)
La società di sicurezza Secunia (http://secunia.com/) ha riportato un Advisory SA30893 (http://secunia.com/advisories/30893/) in cui si spiega che è stata trovata una vulnerabilità, giudicata dalla stessa come Moderately critical in Sun Java Access Manager, che potrebbe essere usata da malintenzionati per compromettere un sistema vulnerabile.
La vulnerabilità è causata da un errore del processing degli XSLT stylesheets contenenti negli XSLT Transforms nelle firme XML. Questo errore può essere sfruttato da attacker per eseguire codice arbitrario malevolo tramite una firma XML malevola.
Per far si che questo exploit venga sfruttato si necessita che la verifica delle firme XML siano settate in Access Manager.
Software colpiti:
Sun Java System Access Manager 6.x
Sun Java System Access Manager 7.x
Soluzione:
Applicare la relativa patch.
-- Piattaforma SPARC --
Sun Java System Access Manager 7.1 (per Solaris 8, 9, e 10):
Applicare la patch 126356-01 o superiore.
Sun Java System Access Manager 7 2005Q4 (per Solaris 8, 9, e 10):
Applicare la patch 120954-06 o superiore.
Sun Java System Access Manager 6.3 2005Q1 (per Solaris 8, 9, e 10):
Applicare la patch 119465-12 o superiore.
Sun Java System Identity Server 6.2 (per Solaris 8 e 9):
Applicare la patch 115766-15 o superiore.
Sun Java System Identity Server 6.1 (per Solaris 8 and 9):
Applicare la patch 117586-22 o superiore.
-- x86 Platform --
Sun Java System Access Manager 7.1 (per Solaris 8, 9, e 10):
Applicare la patch 126357-01 o superiore.
Sun Java System Access Manager 7 2005Q4 (per Solaris 9 e 10):
Applicare la patch 120955-06 o superiore.
Sun Java System Access Manager 6.3 2005Q1 (per Solaris 8, 9, e 10):
Applicare la patch 119465-12 o superiore.
Sun Java System Identity Server 6.2 (per Solaris 8 e 9):
Applicare la patch 120091-15 o superiore.
-- Linux --
Sun Java System Access Manager 7.1:
Applicare la patch 126358-01 o superiore.
Sun Java System Access Manager 7 2005Q4:
Applicare la patch 120956-06 o superiore.
Sun Java System Access Manager 6.3 2005Q1:
Applicare la patch 119502-12 o superiore.
-- Windows --
Sun Java System Access Manager 7.1:
Applicare la patch 126359-01 o superiore.
Sun Java System Access Manager 7 2005Q4:
Applicare la patch 124296-06 o superiore.
Bug scoperto da:
Il produttore ringrazia Brad Hill, iSEC Partners.
Advisory d'origine:
http://sunsolve.sun.com/search/document.do?assetkey=1-66-201538-1
Fonte: Secunia (http://secunia.com/advisories/30893/)