Sun JSSE/Java Plug-In/Java Web Start不正确证书验证漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1203096 漏洞类型 设计错误
发布时间 2003-02-06 更新时间 2009-03-04
CVE编号 CVE-2003-1229 CNNVD-ID CNNVD-200312-183
漏洞平台 N/A CVSS评分 7.5
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200312-183
|漏洞详情
JavaSecureSocketExtension(JSSE)是SUN公司开发和维护的JAVA安全套接口扩展实现。JavaSecureSocketExtension不正确验证WEB站点证书,远程攻击者可以利用这个漏洞使恶意不可信WEB站点成功通过SSL事务验证。如果'SSLContext'使用X509TrustManager实现的实例来初始化(SSLContext.init()))的情况下,JSSE1.0.3不正确调用isClientTrusted()方法可导致不正确验证WEB站点的数字证书,可导致不可信站点成功通过SSL事务验证。JavaPlug-in和JavaWebStart不正确验证签字了的JAR文件数据证书,可导致不可信代码作为可信代码执行。
|参考资料

来源:XF
名称:sun-java-improper-validation(11182)
链接:http://xforce.iss.net/xforce/xfdb/11182
来源:BID
名称:6682
链接:http://www.securityfocus.com/bid/6682
来源:SUNALERT
名称:50081
链接:http://sunsolve.sun.com/search/document.do?assetkey=1-26-50081-1
来源:SECUNIA
名称:7943
链接:http://secunia.com/advisories/7943
来源:HP
名称:HPSBUX0301-239
链接:http://www1.itrc.hp.com/service/cki/docDisplay.do?docId=HPSBUX0301-239
来源:OVAL
名称:oval:org.mitre.oval:def:5883
链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:5883
来源:java.sun.com
链接:http://java.sun.com/products/jsse/CHANGES.txt
来源:BUGTRAQ
名称:20030128IncorrectCertificateValidationinJavaSecureSocketExtension
链接:http://archives.neohapsis.com/archives/bugtraq/2003-01/0334.html
来源:SECTRACK
名称:1006001
链接:http://www.securitytracker.com/id?1006001
来源:SECTRACK
名称:1007483
链接:http://securitytracker.com/id?1007483
来源:SECTRACK
名称:1006007
链接:http://securitytracker.com/id?1006007
来源:NSFOCUS
名称:4338
链接:http://www.nsfocus.net/vulndb/4338