Sun JSSE/Java Plug-In/Java Web Start不正确证书验证漏洞

admin
admin
admin
0
文章
0
评论
2022-07-22 10:35:36 CNNVD漏洞 来源:ZONE.CI 全球网 0 阅读模式

漏洞信息详情

Sun jsSE/Java Plug-In/Java Web Start不正确证书验证漏洞

  • CNNVD编号:CNNVD-200312-183
  • 危害等级: 高危
  • CVE编号: CVE-2003-1229
  • 漏洞类型: 设计错误
  • 发布时间: 2003-02-06
  • 威胁类型: 远程
  • 更新时间: 2009-03-04
  • 厂        商: sun
  • 漏洞来源: Alex Loots※ a.loot...

漏洞简介

Java Secure Socket Extension (jsSE)是SUN公司开发和维护的JAVA安全套接口扩展实现。 Java Secure Socket Extension不正确验证WEB站点证书,远程攻击者可以利用这个漏洞使恶意不可信WEB站点成功通过SSL事务验证。 如果\'\'SSLContext\'\'使用X509TrustManager实现的实例来初始化(SSLContext.init()))的情况下,jsSE 1.0.3不正确调用isClientTrusted()方法可导致不正确验证WEB站点的数字证书,可导致不可信站点成功通过SSL事务验证。Java Plug-in和Java Web Start不正确验证签字了的JAR文件数据证书,可导致不可信代码作为可信代码执行。

漏洞公告

厂商补丁: Sun --- Sun已经为此发布了一个安全公告(Sun-Alert-50081)以及相应补丁:

Sun-Alert-50081:Incorrect Certificate Validation in Java Secure Socket Extension (jsSE), Java Plug-In and Java Web Start

链接: http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert/50081

建议用户升级到最新SDK和JRE版本,下面是修正版本列表:

jsSE in SDK and JRE 1.4.0_02 or later 1.4.0 releases

jsSE 1.0.3_01

Java Plug-in in SDK and JRE 1.4.1_01 or later 1.4.1 releases

Java Plug-in in SDK and JRE 1.4.0_03 or later 1.4.0 releases

Java Plug-in in SDK and JRE 1.3.1_06 or later 1.3.1 releases

Java Web Start in SDK and JRE 1.4.1_01 or later 1.4.1 releases

Sun Java Web Start 1.0:

Sun Java Web Start 1.0.1 _02:

Sun Java Web Start 1.0.1 _01:

Sun Java Web Start 1.0.1:

Sun jsSE 1.0.3:

Sun Upgrade jsSE 1.0.3_01

http://java.sun.com/products/jsse/index-103.HTML Jetty ----- 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

Jetty Upgrade Jetty-4.2.7-src.tgz

http://prdownloads.sourceforge.net/jetty/Jetty-4.2.7-src.tgz?download

参考网址

来源: XF 名称: sun-java-improper-validation(11182) 链接:http://xforce.iss.net/xforce/xfdb/11182 来源: BID 名称: 6682 链接:http://www.securityfocus.com/bid/6682 来源: SUNALERT 名称: 50081 链接:http://sunsolve.sun.com/search/document.do?assetkey=1-26-50081-1 来源: SECUNIA 名称: 7943 链接:http://secunia.com/advisories/7943 来源: HP 名称: HPSBUX0301-239 链接:http://www1.itrc.hp.com/service/cki/docDisplay.do?docId=HPSBUX0301-239 来源: OVAL 名称: oval:org.mitre.oval:def:5883 链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:5883 来源: java.sun.com 链接:http://java.sun.com/products/jsse/CHANGES.txt 来源: BUGTRAQ 名称: 20030128 Incorrect Certificate Validation in Java Secure Socket Extension 链接:http://archives.neohapsis.com/archives/bugtraq/2003-01/0334.HTML 来源: SECTRACK 名称: 1006001 链接:http://www.securitytracker.com/id?1006001 来源: SECTRACK 名称: 1007483 链接:http://securitytracker.com/id?1007483 来源: SECTRACK 名称: 1006007 链接:http://securitytracker.com/id?1006007 来源:NSFOCUS 名称:4338 链接:http://www.nsfocus.net/vulndb/4338

受影响实体

  • Sun Jdk:1.3.0_05:Windows  
  • Sun Jre:1.3.1:Linux  
  • Sun Jre:1.3.1:Update1:Linux  
  • Sun Jre:1.3.1:Update1:Solaris  
  • Sun Jre:1.3.1:Update1a:Windows  

补丁

    暂无

weinxin
特别声明
本站(ZONE.CI)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
咨询加Q:999999999
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 安全领域涉猎者-乌云独行地带
获取本源码
售前咨询加Q:120433200
站媒体网仿《知更鸟》模板
获取本源码 zmt6.com
评论:0   参与:  0