漏洞信息详情
Sun jsSE/Java Plug-In/Java Web Start不正确证书验证漏洞
- CNNVD编号:CNNVD-200312-183
- 危害等级: 高危
- CVE编号: CVE-2003-1229
- 漏洞类型: 设计错误
- 发布时间: 2003-02-06
- 威胁类型: 远程
- 更新时间: 2009-03-04
- 厂 商: sun
- 漏洞来源: Alex Loots※ a.loot...
漏洞简介
Java Secure Socket Extension (jsSE)是SUN公司开发和维护的JAVA安全套接口扩展实现。 Java Secure Socket Extension不正确验证WEB站点证书,远程攻击者可以利用这个漏洞使恶意不可信WEB站点成功通过SSL事务验证。 如果\'\'SSLContext\'\'使用X509TrustManager实现的实例来初始化(SSLContext.init()))的情况下,jsSE 1.0.3不正确调用isClientTrusted()方法可导致不正确验证WEB站点的数字证书,可导致不可信站点成功通过SSL事务验证。Java Plug-in和Java Web Start不正确验证签字了的JAR文件数据证书,可导致不可信代码作为可信代码执行。
漏洞公告
厂商补丁: Sun --- Sun已经为此发布了一个安全公告(Sun-Alert-50081)以及相应补丁:
Sun-Alert-50081:Incorrect Certificate Validation in Java Secure Socket Extension (jsSE), Java Plug-In and Java Web Start
链接: http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert/50081
建议用户升级到最新SDK和JRE版本,下面是修正版本列表:
jsSE in SDK and JRE 1.4.0_02 or later 1.4.0 releases
jsSE 1.0.3_01
Java Plug-in in SDK and JRE 1.4.1_01 or later 1.4.1 releases
Java Plug-in in SDK and JRE 1.4.0_03 or later 1.4.0 releases
Java Plug-in in SDK and JRE 1.3.1_06 or later 1.3.1 releases
Java Web Start in SDK and JRE 1.4.1_01 or later 1.4.1 releases
Sun Java Web Start 1.0:
Sun Java Web Start 1.0.1 _02:
Sun Java Web Start 1.0.1 _01:
Sun Java Web Start 1.0.1:
Sun jsSE 1.0.3:
Sun Upgrade jsSE 1.0.3_01
http://java.sun.com/products/jsse/index-103.HTML Jetty ----- 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
Jetty Upgrade Jetty-4.2.7-src.tgz
http://prdownloads.sourceforge.net/jetty/Jetty-4.2.7-src.tgz?download
参考网址
来源: XF 名称: sun-java-improper-validation(11182) 链接:http://xforce.iss.net/xforce/xfdb/11182 来源: BID 名称: 6682 链接:http://www.securityfocus.com/bid/6682 来源: SUNALERT 名称: 50081 链接:http://sunsolve.sun.com/search/document.do?assetkey=1-26-50081-1 来源: SECUNIA 名称: 7943 链接:http://secunia.com/advisories/7943 来源: HP 名称: HPSBUX0301-239 链接:http://www1.itrc.hp.com/service/cki/docDisplay.do?docId=HPSBUX0301-239 来源: OVAL 名称: oval:org.mitre.oval:def:5883 链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:5883 来源: java.sun.com 链接:http://java.sun.com/products/jsse/CHANGES.txt 来源: BUGTRAQ 名称: 20030128 Incorrect Certificate Validation in Java Secure Socket Extension 链接:http://archives.neohapsis.com/archives/bugtraq/2003-01/0334.HTML 来源: SECTRACK 名称: 1006001 链接:http://www.securitytracker.com/id?1006001 来源: SECTRACK 名称: 1007483 链接:http://securitytracker.com/id?1007483 来源: SECTRACK 名称: 1006007 链接:http://securitytracker.com/id?1006007 来源:NSFOCUS 名称:4338 链接:http://www.nsfocus.net/vulndb/4338
受影响实体
- Sun Jdk:1.3.0_05:Windows
- Sun Jre:1.3.1:Linux
- Sun Jre:1.3.1:Update1:Linux
- Sun Jre:1.3.1:Update1:Solaris
- Sun Jre:1.3.1:Update1a:Windows
补丁
暂无
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论