发布日期：2007-08-22
更新日期：2007-08-23

受影响系统：

Sun Java System Application Server 9.0_0.1 (build b02-p01)

描述：

---

BUGTRAQ  ID: 25400

Sun Java系统应用服务器是与J2EE平台兼容的应用服务器。

Sun应用服务器处理SSL的设置时存在漏洞，远程攻击者可能利用此漏洞非授权访问应用系统。

Sun服务器使用Sun管理控制台控制和更改SSL密码，而通过管理用户界面更改ORB监听程序（SSL和SSL_MutualAuth）不能确保在软件中也做了相应的更改，在重启服务/域后所有的SSL设置仍为默认，也就是允许所有协议和密码。这意味着无论在应用服务器的SUN管理用户界面做了何种选择，都不会影响SSL设置。

<*来源：Fred Donovan （fred@donovannetworks.com）
  
  链接：http://marc.info/?l=bugtraq&m=118779611129907&w=2
*>

建议：

---

厂商补丁：

Sun
---
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://sunsolve.sun.com/security

浏览次数：2731
严重程度：0（网友投票）