¿Las aplicaciones Java son vulnerables a CVE-2014-6321 (WinShock)?

2

CVE-2014-6321 (también conocido como MS14-066) es una vulnerabilidad de desbordamiento de pila descubierta por los ingenieros de Microsoft en Schannel, la implementación SSL / TLS utilizada por Windows.

Mi aplicación Java usa SSL (Implementación JSSE) y ahora me pregunto si mi aplicación está en riesgo debido a esta vulnerabilidad o si es irrelevante.

    
pregunta Guy 14.11.2014 - 17:09
fuente

1 respuesta

4

La vulnerabilidad (aún no divulgada) también se describe como "Vulnerabilidad de ejecución remota de código de Microsoft Schannel", lo que indica que es una debilidad de implementación (es decir, un desbordamiento de búfer probablemente aburrido), no una < em> protocolo debilidad. Por lo tanto, no hay razón para creer que la vulnerabilidad se compartiría con cualquier otra implementación independiente del protocolo.

(Además, la implementación de SSL / TLS de Java no solo se desarrolla de forma independiente, sino que también está escrita en Java, que es inherentemente resistente a los desbordamientos de búfer, ya que todos los accesos de matriz en Java se validan de forma inherente con la longitud real de la matriz.)

    
respondido por el Thomas Pornin 14.11.2014 - 18:06
fuente

Lea otras preguntas en las etiquetas