发布日期：  2007-03-16
更新日期：  2007-03-16

影响系统/软件：
Sun Java System Web Server 7.0
Sun Java System Web Server 6.1 for Windows
Sun Java System Web Server 6.0

不受影响系统/软件：
Sun Java System Web Server 6.1 SP7

漏洞描述：
Sun Java系统应用和WEB服务器都是与J2EE平台兼容的应用服务器。
Sun Java System Web Server中的安全漏洞可能允许本地或远程用户获取对某些Web服务器例程的授权访问。
如果通过管理服务器创建了安全的Web服务器例程做为非root例程且将改管理服务器配置为以root用户权限运行的话，则这个漏洞可能允许拥有已撤销客户端证书的用户在某些条件下访问Web服务器例程，即使该例程已经安装了有效的证书撤销列表（CRL）文件。
仅在满足以下两个条件下这个漏洞才会影响主机：
    1) 包含有满足某些标准的证书撤销列表（CRL）
    2) 运行服务器例程的用户与管理员服务器所配置运行的用户不同

厂商状态： 有补丁。

解决方案：
Sun已经为此发布了一个安全公告（Sun-Alert-02822）以及相应补丁:
Sun-Alert-02822：Sun Java System Web Server May Allow A User with Revoked Client Certificate to Access Server Instance Under Certain Conditions
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102822-1
补丁下载：
http://www.sun.com/download/products.xml?id=45c90ca9