发布日期：2007-03-10
更新日期：2007-03-12

受影响系统：

Sun Java Dynamic Management Kit 5.1

描述：

---

BUGTRAQ  ID: 22907

Java Dynamic Management Kit （Java DMK）提供一组Java 类和工具，便于根据Java管理扩展（JMX）规范和SNMP标准开发安全的监控和管理解决方案。

如果拥有对某些本地数据访问权限的远程用户连接到了本地用户所创建的JMX RMI-IIOP服务器应用程序的话，JMX RMI-IIOP API中的安全漏洞就可能允许能够创建该应用程序的本地用户获取对这些数据的非授权访问。

这个漏洞仅影响包含有通过JMX RMI-IIOP API部署的应用程序的系统。满足了所有以下条件时JMX代理会出现这个漏洞：

   1. 安装了SecurityManager以给予不同代码以不同的权限
   2. 不是所有代码都可以访问某些布署的JMX MBeans
   3. 一些代码拥有足够的权限创建JMX RMI-IIOP连接器，但不能访问受保护的MBeans
  
在这种情况下，尽管有(2)中所述的限制，(3)中的代码仍可访问受保护的MBeans。

<*来源：Sun Alert Notification
  
  链接：http://sunsolve.sun.com/search/printfriendly.do?assetkey=1-26-102835-1
*>

建议：

---

厂商补丁：

Sun
---
Sun已经为此发布了一个安全公告（Sun-Alert-102835）以及相应补丁:
Sun-Alert-102835：Security Vulnerability When Using java.policy With RMI-IIOP
链接：http://sunsolve.sun.com/search/printfriendly.do?assetkey=1-26-102835-1

浏览次数：3270
严重程度：0（网友投票）