Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Validación incorrecta de certificados en Java (SUN)
 
VSantivirus No. 936 - Año 7 - Miércoles 29 de enero de 2003

 Validación incorrecta de certificados en Java (SUN)
http://www.vsantivirus.com/vul-jsse-sun.htm

Aviso de seguridad: Validación incorrecta de certificados en Java (SUN)
Nombre original: Incorrect Certificate Validation in Java Secure Socket Extension (JSSE), Java Plug-In and Java Web Start
Fecha original: 23/ene/03
Aplicación vulnerable: Java JRE/SDK, Java Web Start
Severidad: Alta
Riesgo: Apropiación de información sensible
Fabricante: Sun Microsystems
Referencia: Sun Alert ID: 50081

Secure Sockets Layer (SSL), es un protocolo desarrollado por Netscape para transmitir documentos privados por Internet. El SSL trabaja usando una clave privada para cifrar los datos que se transfieren por una conexión SSL, permitiendo autentificar la identidad de un sitio. Esto es especialmente crítico cuando se realizan compras vía Internet y se debe enviar el número de la tarjeta de crédito.

Un cliente que soporte SSL puede utilizar técnicas de criptografía para comprobar que el certificado y la identidad de un servidor están validados por una Autoridad de Certificación (CA). El cliente (un navegador como Internet Explorer por ejemplo), confía en los certificados emitidos por unas CA concretas.

Las clases JSSE (Java Secure Socket Extention), permiten implementar el protocolo SSL en rutinas Java. Sin embargo, JSSE puede validar en forma incorrecta los certificados digitales presentados por un sitio Web. El resultado de esto, es que un sitio falso podría ser validado erróneamente por el cliente utilizado por el usuario. Dicho en otras palabras, el usuario podría estar enviando datos críticos como el número de la tarjeta a un pirata, sin percatarse del engaño.

Esta falla ocurre en las siguientes implementaciones Java de Sun Microsystems:
  • JSSE en SDK y JRE 1.4.0_01 o versiones anteriores
  • JSSE 1.0.3 o anteriores
  • Java Plug-in en SDK y JRE 1.4.1
  • Java Plug-in en SDK y JRE 1.4.0_02 o anteriores
  • Java Plug-in en SDK y JRE 1.3.1_05 o anteriores
  • Java Plug-in en SDK y JRE 1.3.0_05 o anteriores
  • Java Web Start 1.2
  • Java Web Start 1.0.1_02 o anteriores
  • Java Web Start 1.0

Si usted utiliza alguno de esos productos (si tiene instalada la máquina virtual Java de Sun Microsystems por ejemplo), la solución para corregir esta falla consiste en la descarga e instalación de las versiones actualizadas que Sun ha puesto en su sitio.

Descarga de JSSE 1.0.3_01
http://java.sun.com/products/jsse/index-103.html

Descarga de SDK and JRE releases
http://java.sun.com/j2se/

Máquina virtual Java (J2SETM v 1.4.1_01)
http://java.sun.com/j2se/1.4.1/download.html

En este último caso, marque "Windows (all languages, including English)" en la etiqueta "DOWNLOAD" bajo la columna JRE.



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS