Уязвимость обхода каталога в утилите Java Archive Tool (Jar) из-за некорректной обработки имён файлов с последовательностью ".." в архивах .jar
Описание
Обнаружена уязвимость обхода каталога в способе, которым утилита jar извлекает файлы из архивов JAR. Специально созданный архив JAR может привести к тому, что при его распаковке утилита jar перезапишет произвольные файлы, доступные для записи пользователю, запустившему утилиту.
Затронутые версии ПО
- J2SE SDK 1.4.2
- J2SE SDK 1.5
- OpenJDK
Тип уязвимости
Обход каталога
Дополнительная информация
Статус:
2.6 Low
CVSS2
Связанные уязвимости
Directory traversal vulnerability in the Java Archive Tool (Jar) utility in J2SE SDK 1.4.2 and 1.5, and OpenJDK, allows remote attackers to create or overwrite arbitrary files via a .. (dot dot) in filenames in a .jar file.
Directory traversal vulnerability in the Java Archive Tool (Jar) utility in J2SE SDK 1.4.2 and 1.5, and OpenJDK, allows remote attackers to create or overwrite arbitrary files via a .. (dot dot) in filenames in a .jar file.
Directory traversal vulnerability in the Java Archive Tool (Jar) utility in J2SE SDK 1.4.2 and 1.5, and OpenJDK, allows remote attackers to create or overwrite arbitrary files via a .. (dot dot) in filenames in a .jar file.
ELSA-2015-0808: java-1.6.0-openjdk security update (IMPORTANT)
ELSA-2015-0807: java-1.7.0-openjdk security update (IMPORTANT)
2.6 Low
CVSS2