Security Lab

Sun Java Secure Socket Extension (JSSE) может некорректно утверждать сертификаты Web сайтов

Дата публикации:31.01.2003
Всего просмотров:1193
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: Уязвимость проверки сертификатов обнаружена в Sun's Java Secure Socket Extension (JSSE). Уязвимы также Java Plug-In и Java Web Start. Программное обеспечение может некорректно подтверждать подлинность Web сайтов или JAR файлов.

Sun сообщил, что JSSE может неправильно проверять правильность цифрового сертификата сайта. В результате злонамеренный сайт может быть заверен для SSL транзакций.

Согласно Sun, если SSLContext инициализирован с использованием функции SSLContext.init() с независимым образцом X509TrustManager выполнения, JSSE неправильно вызовет метод isClientTrusted() для определения доверенного сертификата. Также сообщается что Java Plug-in и Java Web Start могут некорректно удстверждать цифровые сертификаты подписанных JAR файлов. В результате, злонамеренный код может подтвердить подлинность как доверенный код.

Уязвимость обнаружена в JSSE 1.0.3 or earlier; also JSSE in SDK and JRE 1.4.0_01

Ссылки: Sun JSSE, Java Plug-in, and Java Web Start bugs