CERTA-2003-AVI-016

Vulnerability from certfr_avis - Published: - Updated:

Une vulnérabilité dans la validation des certificats par JSSE (Java Secure Socket Extension), le plug-in Java et Java Web Start permet à un utilisateur mal intentionné d'exécuter du code malicieux à distance.

Description

JSSE (Java Secure Socket Extension) est une extension du langage Java implémentant une version Java des protocoles SSL (Socket Secure Layer) et TLS (Transport Socket Layer) ainsi que des fonctionnalités de chiffrement, de contrôle d'intégrité et d'authentification.

Java Web Start permet de lancer des applications Java directement depuis un navigateur. Si l'application n'est pas présente en locale sur la machine, Java Web Start s'occupe du téléchargement des fichiers nécessaires (archives JAR signées).

Une vulnérabilité dans la vérification des certificats par JSSE (Java Secure Socket Extension), par le plug-in Java et par Java Web Start permet à un utilisateur mal intentionné d'exécuter du code malicieux à distance.

Solution

Effectuer les mises à jour de Java SDK et Java JRE comme indiqué dans le bulletin de sécurité de Sun (Cf. section Documentation).

None
Impacted products
Vendor Product Description
Centreon Web JSSE version 1.0.3 et versions antérieures ;
Centreon Web Java Web Start version 1.0.1_02 et versions antérieures de la série 1.0.1 ;
Centreon Web plug-in Java faisant partie de Java SDK et JRE version 1.3.0_05 et versions antérieures de la série 1.3.0 ;
Centreon Web Java Web Start version 1.0 ;
Centreon Web JSSE faisant partie de Java SDK et JRE version 1.4.0_01 et versions antérieures de la série 1.4.0 ;
Centreon Web plug-in Java faisant partie de Java SDK et JRE version 1.4.0_02 et versions antérieures de la série 1.4.0 ;
Centreon Web plug-in Java faisant partie de Java SDK et JRE version 1.3.1_05 et versions antérieures de la série 1.3.1 ;
Centreon Web Java Web Start version 1.2 ;
Centreon Web plug-in Java faisant partie de Java SDK et JRE version 1.4.1 ;
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "JSSE version 1.0.3 et versions ant\u00e9rieures ;",
      "product": {
        "name": "Web",
        "vendor": {
          "name": "Centreon",
          "scada": false
        }
      }
    },
    {
      "description": "Java Web Start version 1.0.1_02 et versions ant\u00e9rieures de la s\u00e9rie 1.0.1 ;",
      "product": {
        "name": "Web",
        "vendor": {
          "name": "Centreon",
          "scada": false
        }
      }
    },
    {
      "description": "plug-in Java faisant partie de Java SDK et JRE version 1.3.0_05 et versions ant\u00e9rieures de la s\u00e9rie 1.3.0 ;",
      "product": {
        "name": "Web",
        "vendor": {
          "name": "Centreon",
          "scada": false
        }
      }
    },
    {
      "description": "Java Web Start version 1.0 ;",
      "product": {
        "name": "Web",
        "vendor": {
          "name": "Centreon",
          "scada": false
        }
      }
    },
    {
      "description": "JSSE faisant partie de Java SDK et JRE version 1.4.0_01 et versions ant\u00e9rieures de la s\u00e9rie 1.4.0 ;",
      "product": {
        "name": "Web",
        "vendor": {
          "name": "Centreon",
          "scada": false
        }
      }
    },
    {
      "description": "plug-in Java faisant partie de Java SDK et JRE version 1.4.0_02 et versions ant\u00e9rieures de la s\u00e9rie 1.4.0 ;",
      "product": {
        "name": "Web",
        "vendor": {
          "name": "Centreon",
          "scada": false
        }
      }
    },
    {
      "description": "plug-in Java faisant partie de Java SDK et JRE version 1.3.1_05 et versions ant\u00e9rieures de la s\u00e9rie 1.3.1 ;",
      "product": {
        "name": "Web",
        "vendor": {
          "name": "Centreon",
          "scada": false
        }
      }
    },
    {
      "description": "Java Web Start version 1.2 ;",
      "product": {
        "name": "Web",
        "vendor": {
          "name": "Centreon",
          "scada": false
        }
      }
    },
    {
      "description": "plug-in Java faisant partie de Java SDK et JRE version 1.4.1 ;",
      "product": {
        "name": "Web",
        "vendor": {
          "name": "Centreon",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "content": "## Description\n\nJSSE (Java Secure Socket Extension) est une extension du langage Java\nimpl\u00e9mentant une version Java des protocoles SSL (Socket Secure Layer)\net TLS (Transport Socket Layer) ainsi que des fonctionnalit\u00e9s de\nchiffrement, de contr\u00f4le d\u0027int\u00e9grit\u00e9 et d\u0027authentification.\n\nJava Web Start permet de lancer des applications Java directement depuis\nun navigateur. Si l\u0027application n\u0027est pas pr\u00e9sente en locale sur la\nmachine, Java Web Start s\u0027occupe du t\u00e9l\u00e9chargement des fichiers\nn\u00e9cessaires (archives JAR sign\u00e9es).\n\nUne vuln\u00e9rabilit\u00e9 dans la v\u00e9rification des certificats par JSSE (Java\nSecure Socket Extension), par le plug-in Java et par Java Web Start\npermet \u00e0 un utilisateur mal intentionn\u00e9 d\u0027ex\u00e9cuter du code malicieux \u00e0\ndistance.\n\n## Solution\n\nEffectuer les mises \u00e0 jour de Java SDK et Java JRE comme indiqu\u00e9 dans le\nbulletin de s\u00e9curit\u00e9 de Sun (Cf. section Documentation).\n",
  "cves": [],
  "links": [
    {
      "title": "Bulletin de s\u00e9curit\u00e9 50081 de Sun :",
      "url": "http://sunsolve.sun.com/pub-cgi/secBulletin.pl"
    }
  ],
  "reference": "CERTA-2003-AVI-016",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2003-01-28T00:00:00.000000"
    },
    {
      "description": "les modifications au pr\u00e9sent avis figurent dans l\u0027avis CERTA-2003-AVI-020.",
      "revision_date": "2003-04-01T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    },
    {
      "description": "D\u00e9ni de service"
    },
    {
      "description": "Contournement de la politique de s\u00e9curit\u00e9"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 dans la validation des certificats par JSSE (Java\nSecure Socket Extension), le plug-in Java et Java Web Start permet \u00e0 un\nutilisateur mal intentionn\u00e9 d\u0027ex\u00e9cuter du code malicieux \u00e0 distance.\n",
  "title": "Vuln\u00e9rabilit\u00e9 de JSSE, du plug-in Java et de Java Web Start",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 de Sun 50081",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.