CVE-2014-6517

Опубликовано: 14 окт. 2014

Источник: redhat

CVSS2: 5

EPSS Низкий

Описание

Unspecified vulnerability in Oracle Java SE 6u81, 7u67, and 8u20; Java SE Embedded 7u60; and Jrockit R27.8.3 and R28.3.3 allows remote attackers to affect confidentiality via vectors related to JAXP.

It was discovered that the StAX XML parser in the JAXP component in OpenJDK performed expansion of external parameter entities even when external entity substitution was disabled. A remote attacker could use this flaw to perform XML eXternal Entity (XXE) attack against applications using the StAX parser to parse untrusted XML documents.

Затронутые пакеты

Платформа	Пакет	Состояние	Рекомендация	Релиз
Red Hat Enterprise Linux 5	java-1.6.0-ibm	Not affected
Red Hat Enterprise Linux 5	java-1.7.0-ibm	Not affected
Red Hat Enterprise Linux 6	java-1.6.0-ibm	Not affected
Red Hat Enterprise Linux 6	java-1.7.1-ibm	Not affected
Red Hat Enterprise Linux 7	java-1.7.1-ibm	Not affected
Oracle Java for Red Hat Enterprise Linux 5	java-1.7.0-oracle	Fixed	RHSA-2014:1657	16.10.2014
Oracle Java for Red Hat Enterprise Linux 5	java-1.6.0-sun	Fixed	RHSA-2014:1658	16.10.2014
Oracle Java for Red Hat Enterprise Linux 6	java-1.7.0-oracle	Fixed	RHSA-2014:1657	16.10.2014
Oracle Java for Red Hat Enterprise Linux 6	java-1.6.0-sun	Fixed	RHSA-2014:1658	16.10.2014
Oracle Java for Red Hat Enterprise Linux 7	java-1.7.0-oracle	Fixed	RHSA-2014:1657	16.10.2014

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Moderate

https://bugzilla.redhat.com/show_bug.cgi?id=1151364OpenJDK: StAX parser parameter entity XXE (JAXP, 8039533)

EPSS

Процентиль: 85%

0.02786

Низкий

5 Medium

CVSS2

Связанные уязвимости

CVE-2014-6517

ubuntu

почти 11 лет назад

Unspecified vulnerability in Oracle Java SE 6u81, 7u67, and 8u20; Java SE Embedded 7u60; and Jrockit R27.8.3 and R28.3.3 allows remote attackers to affect confidentiality via vectors related to JAXP.

CVE-2014-6517

nvd

почти 11 лет назад

Unspecified vulnerability in Oracle Java SE 6u81, 7u67, and 8u20; Java SE Embedded 7u60; and Jrockit R27.8.3 and R28.3.3 allows remote attackers to affect confidentiality via vectors related to JAXP.

CVE-2014-6517

debian

почти 11 лет назад

Unspecified vulnerability in Oracle Java SE 6u81, 7u67, and 8u20; Java ...

GHSA-p339-pvxm-qhgv

github

больше 3 лет назад

Unspecified vulnerability in Oracle Java SE 6u81, 7u67, and 8u20; Java SE Embedded 7u60; and Jrockit R27.8.3 and R28.3.3 allows remote attackers to affect confidentiality via vectors related to JAXP.

BDU:2015-00556

fstec

почти 11 лет назад

Уязвимость программной платформы Java Platform, позволяющая удаленному нарушителю нарушить конфиденциальность защищаемой информации

EPSS

Процентиль: 85%

0.02786

Низкий

5 Medium

CVSS2