CVE-2019-10181
CVE-2019-10181
Em resumo
Uma falha no icedtea-web permite que invasores injetem código malicioso em arquivos JAR mantendo a assinatura digital válida. Isso significa que usuários podem executar código não confiável acreditando estar rodando uma aplicação legítima.
Detalhe técnico
CWE-345 (Verificação Insuficiente de Autenticidade de Dados) afeta icedtea-web versões até 1.7.2 e 1.8.2, permitindo injeção de código em arquivos JAR assinados sem invalidar a assinatura. O vetor é entrega de JAR manipulado; o código injetado executa dentro da sandbox Java, limitando mas não eliminando o impacto de segurança.
Resumo gerado e traduzido por IA a partir da descrição oficial.
It was found that in icedtea-web up to and including 1.7.2 and 1.8.2 executable code could be injected in a JAR file without compromising the signature verification. An attacker could use this flaw to inject code in a trusted JAR. The code would be executed inside the sandbox.
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L
Produtos afetados
IcedTea · icedtea-webQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
http://lists.opensuse.org/opensuse-security-announce/2019-08/msg00045.htmlhttp://packetstormsecurity.com/files/154748/IcedTeaWeb-Validation-Bypass-Directory-Traversal-Code-Execution.htmlhttps://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-10181https://github.com/AdoptOpenJDK/IcedTea-Web/issues/327https://github.com/AdoptOpenJDK/IcedTea-Web/pull/344https://lists.debian.org/debian-lts-announce/2019/09/msg00008.htmlhttps://seclists.org/bugtraq/2019/Oct/5https://security.gentoo.org/glsa/202107-51