BUGTRAQ ID: 24690
CVE(CAN) ID: CVE-2007-3503
Solaris系统的Java运行时环境(JRE)为JAVA应用程序提供可靠的运行环境。
Javadoc工具处理用户请求数据时存在跨站脚本执行漏洞,远程攻击者可能利用此漏洞在用户浏览器中执行恶意代码。
Javadoc工具可以生成包含有跨站脚本(XSS)漏洞的HTML文档页面,远程攻击者可以利用这个漏洞注入任意Web脚本或HTML。如果用户受骗访问了该页面的话,就可能从承载所生成文档的站点访问cookies。
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
<a href=“http://dev2dev.bea.com/pub/advisory/248” target=“_blank”>http://dev2dev.bea.com/pub/advisory/248</a>
RedHat已经为此发布了安全公告(RHSA-2007:0818-01,RHSA-2007:0829-01)以及相应补丁:
RHSA-2007:0818-01:Critical: java-1.5.0-sun security update
链接:<a href=“https://www.redhat.com/support/errata/RHSA-2007-0818.html” target=“_blank”>https://www.redhat.com/support/errata/RHSA-2007-0818.html</a>
RHSA-2007:0829-01:Critical: java-1.5.0-ibm security update
链接:<a href=“https://www.redhat.com/support/errata/RHSA-2007-0829.html” target=“_blank”>https://www.redhat.com/support/errata/RHSA-2007-0829.html</a>
Sun已经为此发布了一个安全公告(Sun-Alert-102958)以及相应补丁:
Sun-Alert-102958:Cross-site Scripting Vulnerability (XSS) Affecting Pages Generated with JavaDoc Tool
链接:<a href=“http://sunsolve.sun.com/search/printfriendly.do?assetkey=1-26-102958-1” target=“_blank”>http://sunsolve.sun.com/search/printfriendly.do?assetkey=1-26-102958-1</a>
补丁下载:
<a href=“http://java.sun.com/javase/downloads/index_jdk5.jsp” target=“_blank”>http://java.sun.com/javase/downloads/index_jdk5.jsp</a>
<a href=“http://java.sun.com/javase/downloads/index.jsp” target=“_blank”>http://java.sun.com/javase/downloads/index.jsp</a>