VULHUB ™

Eclipse Equinox是Eclipse基金会的一个子项目，提供OSGi R4.x 核心框架规范的认证实现。 Eclipse Equinox 存在安全漏洞，该漏洞源于 p2 模块中可安装单元能够在安装过程中通过接触点改变Eclipse平台的安装和本地机器。例如，这些接触点可以改变用于启动应用程序的命令行，注入代理或其他通常需要特别注意的安全性设置。尽管p2有确保对工件进行签名然后帮助建立信任的内置策略，但是对于配置此类接触点的元数据部分没有这样的策略。因此，在安装过程中有可能安装一个会运行恶意代码的单元，而用户不会收到任何关于这个安装步骤来自不受信任源且存在风险的警告。

Eclipse Equinox是Eclipse基金会的一个子项目，提供OSGi R4.x 核心框架规范的认证实现。 Eclipse Equinox 存在安全漏洞，该漏洞源于 p2 模块中可安装单元能够在安装过程中通过接触点改变Eclipse平台的安装和本地机器。例如，这些接触点可以改变用于启动应用程序的命令行，注入代理或其他通常需要特别注意的安全性设置。尽管p2有确保对工件进行签名然后帮助建立信任的内置策略，但是对于配置此类接触点的元数据部分没有这样的策略。因此，在安装过程中有可能安装一个会运行恶意代码的单元，而用户不会收到任何关于这个安装步骤来自不受信任源且存在风险的警告。