影響版本:

Sun JDK 6

Sun JDK 5.0

Sun JRE 6

Sun JRE 5.0

漏洞描述:

BUGTRAQ  ID: 35958

CVE(CAN) ID: CVE-2009-2625

Solaris系統(tǒng)的Java運行時環(huán)境（JRE）為JAVA應(yīng)用程序提供可靠的運行環(huán)境。

JRE在解析包含有非預(yù)期字節(jié)值和遞歸括號的XML元素時可能導(dǎo)致程序越界訪問內(nèi)存或陷入死循環(huán)。攻擊者可以通過誘騙用戶打開特制文件或向服務(wù)器提交惡意XML內(nèi)容來利用這個漏洞，導(dǎo)致拒絕服務(wù)的情況。

<*參考  http://secunia.com/advisories/36159/

http://www.cert.fi/en/reports/2009/vulnerability2009085.html

https://www.redhat.com/support/errata/RHSA-2009-1201.html

https://www.redhat.com/support/errata/RHSA-2009-1200.html

https://www.redhat.com/support/errata/RHSA-2009-1199.html

http://sunsolve.sun.com/search/printfriendly.do?assetkey=1-66-263489-1 *>

SEBUG安全建議:

廠商補丁：

RedHat 

RedHat已經(jīng)為此發(fā)布了一個安全公告（RHSA-2009:1199-01）以及相應(yīng)補丁:

RHSA-2009:1199-01：Critical: java-1.5.0-sun security update

鏈接：https://www.redhat.com/support/errata/RHSA-2009-1199.html

Sun 

Sun已經(jīng)為此發(fā)布了一個安全公告（Sun-Alert-263489）以及相應(yīng)補丁:

Sun-Alert-263489：A Security Vulnerability in the Java Runtime Environment (JRE) With Parsing XML Data May Allow a RemoteClient to Create a Denial of Service (DoS) Condition

鏈接：http://sunsolve.sun.com/search/printfriendly.do?assetkey=1-66-263489-1

補丁下載：

http://java.sun.com/javase/downloads/index.jsp

http://java.sun.com/javase/downloads/index_jdk5.jsp

【編輯推薦】

1. 專題：拒絕服務(wù)攻擊DoS專題
2. 網(wǎng)絡(luò)安全知識：深入理解DoS拒絕服務(wù)攻擊
3. 四招打敗僵尸網(wǎng)絡(luò)的拒絕服務(wù)攻擊