Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut créer une application Java JNLP qui n’est pas
totalement signée, et qui n’est pas bloquée par la version de
OpenJDK compilée avec IcedTea6.

– Gravité : 2/4
– Date création : 03/02/2011

PRODUITS CONCERNÉS

– OpenSUSE
– SUSE Linux Enterprise Server
– Unix - plateforme

DESCRIPTION DE LA VULNÉRABILITÉ

Les outils IcedTea6 permettent de compiler le code source de
OpenJDK avec des logiciels libres.

Le protocole JNLP (Java Network Launching Protocol) est utilisé
pour le déploiement d’applications Java.

Un fichier JNLP peut indiquer plusieurs archives JAR, qui doivent
toutes être signées. Cependant, si un certificat ne signe que
certaines archives JAR, les autres sont automatiquement
considérées comme signées.

Un attaquant peut donc créer une application Java JNLP qui n’est
pas totalement signée, et qui n’est pas bloquée par la version de
OpenJDK compilée avec IcedTea6.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/OpenJDK-IcedTea6-contournement-de-signature-JNLP-10323