发布日期：2007-07-10
更新日期：2007-07-12

受影响系统：

Sun Java System Application Server 平台版9.0
Sun Java System Application Server 平台版8.2
Sun Java System Application Server 企业版8.2
Sun Java System Web Server 7.0

不受影响系统：

Sun Java System Web Server 7.0 Update 1

描述：

---

BUGTRAQ  ID: 24850
CVE(CAN) ID: CVE-2007-3715,CVE-2007-3716

Sun Java系统应用服务器是与J2EE平台兼容的应用服务器。

Sun Java在处理恶意XSLT样式表时存在漏洞，远程攻击者可能利用此漏洞控制用户系统。

某些版本的Sun Java系统应用服务器和Sun Java系统Web服务器没有安全地处理XML签名的XSLT转换中的XSLT样式表，这可能允许执行恶意的XLST样式表，导致执行任意Java方式。

<*来源：Brad Hill
  
  链接：http://secunia.com/advisories/26631/
        http://secunia.com/advisories/26023/
        http://secunia.com/advisories/26047/
        http://www.isecpartners.com/advisories/2007-04-dsig.txt
        http://secunia.com/advisories/26327/
        http://secunia.com/advisories/26031
        http://dev2dev.bea.com/pub/advisory/248
        http://sunsolve.sun.com/search/printfriendly.do?assetkey=1-26-102992-1
        http://sunsolve.sun.com/search/printfriendly.do?assetkey=1-26-103015-1
        http://sunsolve.sun.com/search/printfriendly.do?assetkey=1-26-102993-1
*>

建议：

---

厂商补丁：

Sun
---
Sun已经为此发布了一个安全公告（Sun-Alert-102992）以及相应补丁:
Sun-Alert-102992：Security Vulnerability in Processing XSLT Stylesheets Affects Sun Java System Application Server and Web Server
链接：http://sunsolve.sun.com/search/printfriendly.do?assetkey=1-26-102992-1

补丁下载：
http://www.sun.com/download/products.xml?id=467713d6

浏览次数：2563
严重程度：0（网友投票）