您所在的位置:网络安全 > 漏洞 > Sun Java Web Start JNLP远程文件可定位漏洞

Sun Java Web Start JNLP远程文件可定位漏洞

2005-08-10 10:35 51CTO.COM 字号:T | T
一键收藏,随时查看,分享好友!

异常处理错误##远程进入系统##及时修补

AD:


信息提供:

安全公告(或线索)提供热线:51cto.editor@gmail.com

漏洞类别:

远程文件可定位漏洞

攻击类型:

远程攻击

发布日期:

2002-07-18

更新日期:

2002-07-26

受影响系统:

Sun Java Web Start 1.0.1_02
Sun Java Web Start 1.0.1_01
Sun Java Web Start 1.0.1
Sun Java Web Start 1.0

安全系统:

漏洞报告人:

jelmer

漏洞描述:

BUGTRAQ  ID: 5263
Sun Java Web Start是一款Sun Microsystems开发的通过WEB发布JAVA应用程序的平台,Web Start由Java实现,可使用在大多数操作系统下,包括Microsoft Windows和Linux下。
Sun Java Web Start处理JNLP文件中引用的图象文件时存在漏洞,远程攻击者可以利用这个漏洞获得图象存储的系统位置。
Java Web Start通过称为Java Network Launching Protocol (JNLP)的文件来描述Java应用程序,JNLP文件符合标准的XML语法,实质就是一个XML文件,这个XML文件可以用来描述引用程序和提供对外部资源如图象文件的引用。不过JNLP文件中引用的图象文件存储在可预测系统位置(C:\Program Files\Java Web Start\.javaws\cache\http\D$MYHOSTNAMEHERE$\P80\DMimages)中,攻击者可以通过构建恶意JNLP文件把任意文件放置到可预测系统位置中,然后通过类似IE浏览器存在"file://"的URL引用来执行被保存的任意文件等漏洞,导致包含在文件中的内容以Java Web Start进程的权限被执行。

测试方法:

解决方法:

临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 暂时没有合适的临时解决方法。
厂商补丁:
Sun
---
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://java.sun.com/products/javawebstart/





分享到:

  1. 物联网的实用加密方法
  2. 如何防范社会工程攻击?

热点职位

更多>>

热点专题

更多>>

读书

网管员必读—网络应用
本书是一本介绍当前主流计算机网络应用技术的工具图书,全面总结了当前最主流、最基础的计算机网络应用,包括局域网和互联网应用

最新热帖

更多>>

51CTO旗下网站

领先的IT技术网站 51CTO 领先的中文存储媒体 WatchStor 中国首个CIO网站 CIOage 中国首家数字医疗网站 HC3i 51CTO学院