CVE-2005-3905
CVSS7.5
发布时间 :2005-11-30 06:03:00
修订时间 :2011-03-07 00:00:00
NMCO    

[原文]Unspecified vulnerability in reflection APIs in Java SDK and JRE 1.3.1_15 and earlier, 1.4.2_08 and earlier, and JDK and JRE 5.0 Update 3 and earlier allows remote attackers to escape the Java sandbox and access arbitrary files or execute arbitrary application via unknown attack vectors, a different vulnerability than CVE-2005-3906. NOTE: this is associated with the "first issue" identified in SUNALERT:102003.


[CNNVD]SUN JSDK和JRE Reflection API 未明漏洞(CNNVD-200511-505)

        Java Development Kit(JDK),Java开发包。 Java Runtime Environment(JRE) java运行环境。
        Java SDK和JRE 1.3.1_15及更早版本、1.4.2_08及更早版本、JDK和JRE 5.0 Update 3及更早版本的Reflection API中的未明漏洞,可让远程攻击者通过未知攻击方式避开Java沙盒并访问任意文件,或执行任意应用程序。注意:这与SUNALERT:102003中识别的"第一个问题"相关联。

- CVSS (基础分值)

CVSS分值: 7.5 [严重(HIGH)]
机密性影响: PARTIAL [很可能造成信息泄露]
完整性影响: PARTIAL [可能会导致系统文件被修改]
可用性影响: PARTIAL [可能会导致性能下降或中断资源访问]
攻击复杂度: LOW [漏洞利用没有访问限制 ]
攻击向量: [--]
身份认证: NONE [漏洞利用无需身份认证]

- CPE (受影响的平台与产品)

cpe:/a:sun:jre:1.3.0:update5Sun J2RE 1.3.0_05
cpe:/a:sun:jdk:1.3.1_11::linux
cpe:/a:sun:jdk:1.3.1_08::solaris
cpe:/a:sun:jdk:1.3.1_10::linux
cpe:/a:sun:jdk:1.4.0_01::windows
cpe:/a:sun:jdk:1.3_02::solaris
cpe:/a:sun:jdk:1.4.1_03::solaris
cpe:/a:sun:jdk:1.3.1_02::windows
cpe:/a:sun:jdk:1.4.1_01::linux
cpe:/a:sun:jdk:1.5.0_03::solaris
cpe:/a:sun:jdk:1.3.1_13::windows
cpe:/a:sun:jdk:1.3.1_07::windows
cpe:/a:sun:jdk:1.3.1_05::linux
cpe:/a:sun:jdk:1.3.1_15::linux
cpe:/a:sun:jdk:1.3.1_12::solaris
cpe:/a:sun:jdk:1.3.1_10::solaris
cpe:/a:sun:jdk:1.3.1_08::windows
cpe:/a:sun:jdk:1.3.1_08::linux
cpe:/a:sun:jdk:1.4.2_05::windows
cpe:/a:sun:jdk:1.3.1_06::windows
cpe:/a:sun:jre:1.3.1:update15Sun J2RE 1.3.1_15
cpe:/a:sun:jdk:1.4.2::solaris
cpe:/a:sun:jre:1.3.1Sun J2RE 1.3.1
cpe:/a:sun:jdk:1.4.2_05::linux
cpe:/a:sun:jdk:1.4.1_02::windows
cpe:/a:sun:jdk:1.4.1_01::solaris
cpe:/a:sun:jdk:1.4.2_02::linux
cpe:/a:sun:jdk:1.3.1_04::windows
cpe:/a:sun:jre:1.4.2:update4
cpe:/a:sun:jdk:1.3_05::solaris
cpe:/a:sun:jdk:1.4.1_02::linux
cpe:/a:sun:jre:1.4.1JRE 1.4.1
cpe:/a:sun:jdk:1.3.0_05::linux
cpe:/a:sun:jre:1.4.2:update5
cpe:/a:sun:jdk:1.3.1_13::solaris
cpe:/a:sun:jre:1.3.1:update8Sun J2RE 1.3.1_08
cpe:/a:sun:jdk:1.5.0_03::windows
cpe:/a:sun:jre:1.5.0:update1Sun JRE 1.5.0_1 (JRE 5.0 Update 1)
cpe:/a:sun:jdk:1.3.1_09::solaris
cpe:/a:sun:jre:1.3.0:update4Sun J2RE 1.3.0_04
cpe:/a:sun:jdk:1.3.1_09::linux
cpe:/a:sun:jre:1.4.2:update3
cpe:/a:sun:jdk:1.3.1_05::windows
cpe:/a:sun:jre:1.5.0:update3Sun JRE 1.5.0_3 (JRE 5.0 Update 3)
cpe:/a:sun:jdk:1.4.2::windows
cpe:/a:sun:jdk:1.4::linux
cpe:/a:sun:jdk:1.3.1_14::solaris
cpe:/a:sun:jre:1.5.0:update2Sun JRE 1.5.0_2 (JRE 5.0 Update 2)
cpe:/a:sun:jdk:1.3.1_15::solaris
cpe:/a:sun:jdk:1.4.2_01::linux
cpe:/a:sun:jdk:1.4::windows
cpe:/a:sun:jre:1.3.1:update1aSun JRE 1.3.1_01a
cpe:/a:sun:jre:1.3.0:update3Sun J2RE 1.3.0_03
cpe:/a:sun:jdk:1.4.0_4::solaris
cpe:/a:sun:jdk:1.4.2_04::linux
cpe:/a:sun:jdk:1.4.0_02::linux
cpe:/a:sun:jre:1.4.2:update1
cpe:/a:sun:jdk:1.4.0_02::solaris
cpe:/a:sun:jdk:1.4.1::windows
cpe:/a:sun:jdk:1.4.2_04::solaris
cpe:/a:sun:jdk:1.3.1_15::windows
cpe:/a:sun:jre:1.3.0:update2Sun J2RE 1.3.0_02
cpe:/a:sun:jdk:1.3.1_11::windows
cpe:/a:sun:jdk:1.3.1_12::windows
cpe:/a:sun:jdk:1.3.1_10::windows
cpe:/a:sun:jdk:1.3.1_07::solaris
cpe:/a:sun:jdk:1.4.0_03::linux
cpe:/a:sun:jdk:1.4::solaris
cpe:/a:sun:jdk:1.4.2_05::solaris
cpe:/a:sun:jdk:1.3.1_02::linux
cpe:/a:sun:jdk:1.3::solaris
cpe:/a:sun:jdk:1.3.1_07::linux
cpe:/a:sun:jdk:1.4.2::linux
cpe:/a:sun:jdk:1.4.2_08::windows
cpe:/a:sun:jre:1.4.2:update2
cpe:/a:sun:jdk:1.4.2_03::windows
cpe:/a:sun:jdk:1.4.1_02::solaris
cpe:/a:sun:jdk:1.3.0_02::windows
cpe:/a:sun:jdk:1.3.1_03::solaris
cpe:/a:sun:jdk:1.4.1_03::windows
cpe:/a:sun:jre:1.3.1:update4Sun J2RE 1.3.1_04
cpe:/a:sun:jdk:1.4.2_08::solaris
cpe:/a:sun:jdk:1.4.0_4::windows
cpe:/a:sun:jdk:1.3.1_14::windows
cpe:/a:sun:jdk:1.3.1_05::solaris
cpe:/a:sun:jdk:1.4.2_03::linux
cpe:/a:sun:jdk:1.5.0_03::linux
cpe:/a:sun:jdk:1.4.1_01::windows
cpe:/a:sun:jdk:1.3.0_05::windows
cpe:/a:sun:jdk:1.4.0_4::linux
cpe:/a:sun:jre:1.4.2:update8
cpe:/a:sun:jdk:1.3.1_06::solaris
cpe:/a:sun:jdk:1.4.0_03::solaris
cpe:/a:sun:jdk:1.3.0_02::solaris
cpe:/a:sun:jdk:1.4.2_04::windows
cpe:/a:sun:jdk:1.4.2_03::solaris
cpe:/a:sun:jre:1.5.0Sun JRE 1.5.0
cpe:/a:sun:jdk:1.3.1_09::windows
cpe:/a:sun:jdk:1.3.0_02::linux
cpe:/a:sun:jdk:1.3.1_03::windows
cpe:/a:sun:jdk:1.4.0_02::windows
cpe:/a:sun:jdk:1.4.2_08::linux
cpe:/a:sun:jre:1.3.0Sun J2RE 1.3.0
cpe:/a:sun:jre:1.4.2Sun JRE 1.4.2
cpe:/a:sun:jre:1.3.0:update1Sun J2RE 1.3.0_01
cpe:/a:sun:jdk:1.3.1_01::linux
cpe:/a:sun:jdk:1.3.1_11::solaris
cpe:/a:sun:jdk:1.3.1_01::solaris
cpe:/a:sun:jdk:1.3.1_06::linux
cpe:/a:sun:jdk:1.3.1_12::linux
cpe:/a:sun:jdk:1.4.1_03::linux
cpe:/a:sun:jdk:1.4.1::solaris
cpe:/a:sun:jdk:1.4.1::linux
cpe:/a:sun:jre:1.4.2:update7
cpe:/a:sun:jdk:1.3.1_13::linux
cpe:/a:sun:jre:1.3.1:update1Sun JRE 1.3.1_01
cpe:/a:sun:jdk:1.3.1_02::solaris
cpe:/a:sun:jdk:1.3.1_03::linux
cpe:/a:sun:jdk:1.4.0_03::windows
cpe:/a:sun:jdk:1.3.1_01a::windows
cpe:/a:sun:jre:1.4.2:update6
cpe:/a:sun:jdk:1.3.1_14::linux

- OVAL (用于检测的技术细节)

未找到相关OVAL定义

- 官方数据库链接

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3905
(官方数据源) MITRE
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2005-3905
(官方数据源) NVD
http://www.cnnvd.org.cn/vulnerability/show/cv_cnnvdid/CNNVD-200511-505
(官方数据源) CNNVD

- 其它链接及资源

http://www.kb.cert.org/vuls/id/974188
(UNKNOWN)  CERT-VN  VU#974188
http://sunsolve.sun.com/searchproxy/document.do?assetkey=1-26-102003-1
(VENDOR_ADVISORY)  SUNALERT  102003
http://secunia.com/advisories/17748
(VENDOR_ADVISORY)  SECUNIA  17748
http://xforce.iss.net/xforce/xfdb/23251
(UNKNOWN)  XF  sun-reflection-api-elevate-privileges(23251)
http://www.vupen.com/english/advisories/2005/2946
(VENDOR_ADVISORY)  VUPEN  ADV-2005-2946
http://www.vupen.com/english/advisories/2005/2675
(VENDOR_ADVISORY)  VUPEN  ADV-2005-2675
http://www.vupen.com/english/advisories/2005/2636
(VENDOR_ADVISORY)  VUPEN  ADV-2005-2636
http://www.securityfocus.com/bid/15615
(UNKNOWN)  BID  15615
http://www.gentoo.org/security/en/glsa/glsa-200601-10.xml
(UNKNOWN)  GENTOO  GLSA-200601-10
http://www-1.ibm.com/support/docview.wss?uid=swg21225628
(UNKNOWN)  CONFIRM  http://www-1.ibm.com/support/docview.wss?uid=swg21225628
http://securitytracker.com/id?1015280
(UNKNOWN)  SECTRACK  1015280
http://secunia.com/advisories/18503
(VENDOR_ADVISORY)  SECUNIA  18503
http://secunia.com/advisories/18435
(VENDOR_ADVISORY)  SECUNIA  18435
http://secunia.com/advisories/18092
(VENDOR_ADVISORY)  SECUNIA  18092
http://secunia.com/advisories/17847
(VENDOR_ADVISORY)  SECUNIA  17847
http://lists.apple.com/archives/security-announce/2005/Nov/msg00004.html
(UNKNOWN)  APPLE  APPLE-SA-2005-11-30

- 漏洞信息

SUN JSDK和JRE Reflection API 未明漏洞
高危 资料不足
2005-11-30 00:00:00 2006-03-02 00:00:00
远程  
        Java Development Kit(JDK),Java开发包。 Java Runtime Environment(JRE) java运行环境。
        Java SDK和JRE 1.3.1_15及更早版本、1.4.2_08及更早版本、JDK和JRE 5.0 Update 3及更早版本的Reflection API中的未明漏洞,可让远程攻击者通过未知攻击方式避开Java沙盒并访问任意文件,或执行任意应用程序。注意:这与SUNALERT:102003中识别的"第一个问题"相关联。

- 公告与补丁

        暂无数据

- 漏洞信息

21236
Sun Java JRE Unspecified reflection API Privilege Escalation (6263857)

- 漏洞描述

Unknown or Incomplete

- 时间线

2005-11-28 Unknow
Unknow Unknow

- 解决方案

Unknown or Incomplete

- 相关参考

- 漏洞作者

Unknown or Incomplete
 

 

关于SCAP中文社区

SCAP中文社区是国内第一个以SCAP为主题的中文开放社区。了解更多信息,请查阅[关于本站]

版权声明

CVE/CWE/OVAL均为MITRE公司的注册商标,它们的官方数据源均保存在MITRE公司的相关网站