Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:H/Au:N/C:N/I:P/A:P)
Производитель ПО
Наименование ПО
JavaTM Platform 4, Standard Edition
(1.4.2_12)
JavaTM Platform 5, Standard Edition
(5.0, 5.0 U8)
Описание
При использовании RSA-ключа приложение удаляет содержимое PKCS-1 до того, как будет сгенерирована хэш-последовательность, что позволяет злоумышленникам, действующим удаленно, подменять PKCS-1, подписанный RSA-ключем. Из-за этого проверка X.509 и других сертификатов, использующих PKCS-1, происходит некорректно.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.oracle.com/technetwork/java/index.html
http://www.oracle.com/technetwork/java/index.html
Ссылки
SUNALERT (102648): http://sunsolve.sun.com/search/document.do?assetkey=1-26-102648-1
CERT-VN (VU#845620): http://www.kb.cert.org/vuls/id/845620
FRSIRT (ADV-2006-3898): http://www.frsirt.com/english/advisories/2006/3898
FRSIRT (ADV-2006-3899): http://www.frsirt.com/english/advisories/2006/3899
SUNALERT (102657): http://sunsolve.sun.com/search/document.do?assetkey=1-26-102657-1
FRSIRT (ADV-2006-3960): http://www.frsirt.com/english/advisories/2006/3960
http://support.avaya.com/elmodocs2/security/ASA-2006-250.htm
CERT-VN (VU#845620): http://www.kb.cert.org/vuls/id/845620
FRSIRT (ADV-2006-3898): http://www.frsirt.com/english/advisories/2006/3898
FRSIRT (ADV-2006-3899): http://www.frsirt.com/english/advisories/2006/3899
SUNALERT (102657): http://sunsolve.sun.com/search/document.do?assetkey=1-26-102657-1
FRSIRT (ADV-2006-3960): http://www.frsirt.com/english/advisories/2006/3960
http://support.avaya.com/elmodocs2/security/ASA-2006-250.htm
