Vigil@nce : OpenJDK, IcedTea6, contournement de signature JNLP
février 2011 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut créer une application Java JNLP qui n’est pas
totalement signée, et qui n’est pas bloquée par la version de
OpenJDK compilée avec IcedTea6.
– Gravité : 2/4
– Date création : 03/02/2011
PRODUITS CONCERNÉS
– OpenSUSE
– SUSE Linux Enterprise Server
– Unix - plateforme
DESCRIPTION DE LA VULNÉRABILITÉ
Les outils IcedTea6 permettent de compiler le code source de
OpenJDK avec des logiciels libres.
Le protocole JNLP (Java Network Launching Protocol) est utilisé
pour le déploiement d’applications Java.
Un fichier JNLP peut indiquer plusieurs archives JAR, qui doivent
toutes être signées. Cependant, si un certificat ne signe que
certaines archives JAR, les autres sont automatiquement
considérées comme signées.
Un attaquant peut donc créer une application Java JNLP qui n’est
pas totalement signée, et qui n’est pas bloquée par la version de
OpenJDK compilée avec IcedTea6.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/OpenJDK-IcedTea6-contournement-de-signature-JNLP-10323