Дата публикации: | 31.01.2003 |
Всего просмотров: | 1208 |
Опасность: | |
Наличие исправления: | |
Количество уязвимостей: | 1 |
CVE ID: | Нет данных |
Вектор эксплуатации: | |
Воздействие: | |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: | |
Описание: | Уязвимость проверки сертификатов обнаружена в Sun's Java Secure Socket Extension (JSSE). Уязвимы также Java Plug-In и Java Web Start. Программное обеспечение может некорректно подтверждать подлинность Web сайтов или JAR файлов. Sun сообщил, что JSSE может неправильно проверять правильность цифрового сертификата сайта. В результате злонамеренный сайт может быть заверен для SSL транзакций. Согласно Sun, если SSLContext инициализирован с использованием функции SSLContext.init() с независимым образцом X509TrustManager выполнения, JSSE неправильно вызовет метод isClientTrusted() для определения доверенного сертификата. Также сообщается что Java Plug-in и Java Web Start могут некорректно удстверждать цифровые сертификаты подписанных JAR файлов. В результате, злонамеренный код может подтвердить подлинность как доверенный код. Уязвимость обнаружена в JSSE 1.0.3 or earlier; also JSSE in SDK and JRE 1.4.0_01 |
Ссылки: | Sun JSSE, Java Plug-in, and Java Web Start bugs |