Security Lab

“Timing” нападение в Java Secure Socket Extention CBC

Дата публикации:03.09.2003
Всего просмотров:1203
Опасность:
Низкая
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Раскрытие важных данных
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Sun Java JRE 1.4.x
Sun Java SDK 1.4.x
Java Secure Socket Extension (JSSE) 1.x

Уязвимые версии: Java Secure Socket Extension (JSSE) 1.x, Sun Java JRE 1.4.x, Sun Java SDK 1.4.x

Описание: Уязвимость обнаружена в Java Secure Socket Extention (JSSE). Злонамеренный пользователь может получить информацию об Cipher Block Chaining (CBC) в зашифрованной SSL/TLS сессии. Также удаленный атакующий может, при определенных обстоятельствах, раскрыть закрытый ключ SSL сервера.

Первоначально уязвимости были обнаружены в OpenSSL в январе этого года.

Пример/Эксплоит: Нет

URL производителя:http://java.sun.com/j2se

Решение:

Установите обновленные версии программного обеспечения:

SDK и JRE 1.4.1_03 для Windows, Slaris и Linux:

http://java.sun.com/j2se

JSSE 1.0.3_02:

http://java.sun.com/products/jsse/index-103.html