【绿盟科技授权,赛迪发布,谢绝任何网站转载,违者,赛迪网将保留追究其法律责任的权利!】
发布日期:2007-08-22
更新日期:2007-08-23
受影响系统:
Sun Java System Application Server 9.0_0.1 (build b02-p01)
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 25400
Sun Java系统应用服务器是与J2EE平台兼容的应用服务器。
Sun应用服务器处理SSL的设置时存在漏洞,远程攻击者可能利用此漏洞非授权访问应用系统。
Sun服务器使用Sun管理控制台控制和更改SSL密码,而通过管理用户界面更改ORB监听程序(SSL和SSL_MutualAuth)不能确保在软件中也做了相应的更改,在重启服务/域后所有的SSL设置仍为默认,也就是允许所有协议和密码。这意味着无论在应用服务器的SUN管理用户界面做了何种选择,都不会影响SSL设置。
<*来源:Fred Donovan (fred@donovannetworks.com)
链接:http://marc.info/?l=bugtraq&m=118779611129907&w=2
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Sun
---
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://sunsolve.sun.com/security
(责任编辑:李磊)
