漏洞信息详情

Sun JSSE/Java Plug-In/Java Web Start不正确证书验证漏洞

漏洞简介

Java Secure Socket Extension (JSSE)是SUN公司开发和维护的JAVA安全套接口扩展实现。 Java Secure Socket Extension不正确验证WEB站点证书,远程攻击者可以利用这个漏洞使恶意不可信WEB站点成功通过SSL事务验证。 如果'SSLContext'使用X509TrustManager实现的实例来初始化(SSLContext.init()))的情况下,JSSE 1.0.3不正确调用isClientTrusted()方法可导致不正确验证WEB站点的数字证书,可导致不可信站点成功通过SSL事务验证。Java Plug-in和Java Web Start不正确验证签字了的JAR文件数据证书,可导致不可信代码作为可信代码执行。

漏洞公告

厂商补丁: Sun --- Sun已经为此发布了一个安全公告(Sun-Alert-50081)以及相应补丁:

Sun-Alert-50081:Incorrect Certificate Validation in Java Secure Socket Extension (JSSE), Java Plug-In and Java Web Start

链接: http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert/50081

建议用户升级到最新SDK和JRE版本,下面是修正版本列表:

JSSE in SDK and JRE 1.4.0_02 or later 1.4.0 releases

JSSE 1.0.3_01

Java Plug-in in SDK and JRE 1.4.1_01 or later 1.4.1 releases

Java Plug-in in SDK and JRE 1.4.0_03 or later 1.4.0 releases

Java Plug-in in SDK and JRE 1.3.1_06 or later 1.3.1 releases

Java Web Start in SDK and JRE 1.4.1_01 or later 1.4.1 releases

Sun Java Web Start 1.0:

Sun Java Web Start 1.0.1 _02:

Sun Java Web Start 1.0.1 _01:

Sun Java Web Start 1.0.1:

Sun JSSE 1.0.3:

Sun Upgrade JSSE 1.0.3_01

http://java.sun.com/products/jsse/index-103.html Jetty ----- 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

Jetty Upgrade Jetty-4.2.7-src.tgz

http://prdownloads.sourceforge.net/jetty/Jetty-4.2.7-src.tgz?download

参考网址

来源: XF 名称: sun-java-improper-validation(11182) 链接:http://xforce.iss.net/xforce/xfdb/11182 来源: BID 名称: 6682 链接:http://www.securityfocus.com/bid/6682 来源: SUNALERT 名称: 50081 链接:http://sunsolve.sun.com/search/document.do?assetkey=1-26-50081-1 来源: SECUNIA 名称: 7943 链接:http://secunia.com/advisories/7943 来源: HP 名称: HPSBUX0301-239 链接:http://www1.itrc.hp.com/service/cki/docDisplay.do?docId=HPSBUX0301-239 来源: OVAL 名称: oval:org.mitre.oval:def:5883 链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:5883 来源: java.sun.com 链接:http://java.sun.com/products/jsse/CHANGES.txt 来源: BUGTRAQ 名称: 20030128 Incorrect Certificate Validation in Java Secure Socket Extension 链接:http://archives.neohapsis.com/archives/bugtraq/2003-01/0334.html 来源: SECTRACK 名称: 1006001 链接:http://www.securitytracker.com/id?1006001 来源: SECTRACK 名称: 1007483 链接:http://securitytracker.com/id?1007483 来源: SECTRACK 名称: 1006007 链接:http://securitytracker.com/id?1006007 来源:NSFOCUS 名称:4338 链接:http://www.nsfocus.net/vulndb/4338

补丁

    暂无

漏洞信息快速查询

相关漏洞

更多