Risque

  • Usurpation d'identité

Systèmes affectés

JSSE 1.0.3, 1.0.3_01 et 1.0.3_02 pour les plates-formes Linux, Solaris et Windows.

La version de JSSE intégrée à JAVA 2 SDK 1.4.x n'est pas vulnérable.

Description

JSSE (Java Secure Socket Extension) est une extension du langage Java implémentant une version Java des protocoles SSL (Socket Secure Layer) et TLS (Transport Socket Layer) ainsi que des fonctionnalités de chiffrement, de contrôle d'intégrité et d'authentification. JSSE à été intégré à JAVA 2 SDK version 1.4.

Selon Sun, une vulnérabilité est présente dans la validation des certificats permettant ainsi à un site web malicieux de se faire passer pour un site de confiance lors d'une connexion SSL.

Solution

La version 1.0.3_03 de JSSE corrige cette vulnérabilité :

http://java.sun.com/products/jsse/index-103.html

Documentation