IBM Java不安全UTF8字节序列处理漏洞

IBM Java不安全UTF8字节序列处理漏洞

发布日期：2010-07-23
更新日期：2010-07-26

受影响系统：
IBM Java 6.x
IBM Java 5.x
IBM Java 1.4.x
不受影响系统：
IBM Java 6.0.0 SR9
IBM Java 5.0.0 SR12
IBM Java 1.4.2 SR13 FP6
描述：
--------------------------------------------------------------------------------
BUGTRAQ  ID: 41918

Sun Java SDK是一个Java实现平台，现已被IBM收购。

IBM和Sun处理非法的UTF8字节序列的方式有所不同，IBM会跳过非法字节序列，而SUN使用\uFFFD替换掉非法字符。这可能导致绕过某些过滤机制。例如，假设有效页面为http://host/ctx/index.html ，则请求http://www/ctx/index%c0%aehtml 也会到达相同的页面。

<*来源：IBM （ncsupp@ca.ibm.com）
 
  链接：http://secunia.com/advisories/40710/
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

IBM
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www-01.ibm.com/support/docview.wss?uid=swg1IZ80870
http://www-01.ibm.com/support/docview.wss?uid=swg1IZ80871
http://www-01.ibm.com/support/docview.wss?uid=swg1PM18989