Boletines de Vulnerabilidades |
Múltiples vulnerabilidades en Sun Java JRE y JDK |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Obtener acceso |
Dificultad | Experto |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | Comercial Software |
Software afectado |
Sun Java JRE y JDK 1.4.2 < Update 18 Sun Java JRE y JDK 5.0 < Update 17 Sun Java JRE y JDK 6 < Update 11 |
Descripción |
|
Se han descubierto múltiples vulnerabilidades en Sun Java JRE y JDK. Las vulnerabilidades son descritas a continuación: - CVE-2008-5351: La vulnerabilidad reside en un error en el procesamiento de la codificación UTF-8. Un atacante remoto podría saltar los mecanismos de protección frente a codificaciones cortas de UTF-8. - CVE-2008-5354: Se ha descubierto una vulnerabilidad de tipo desbordamiento de búfer. Un atacante remoto podría ejecutar código arbitrario mediante un fichero JAR con una entrada del manifiesto "Main-Class" muy larga. - CVE-2008-5355: La vulnerabilidad reside en un error en la verificación de firmas de Java Update, incluido en Sun Java JRE y JDK 1.4, 5 y 6. Un atacante remoto podría ejecutar código arbitrario mediante un ataque DNS de hombre en el medio. - CVE-2008-5356: Se ha descubierto una vulnerabilidad de tipo desbordamiento de búfer. Un atacante remoto podría ejecutar código arbitrario mediante un fichero de fuentes TrueType especialmente diseñado. - CVE-2008-5357: Se ha descubierto una vulnerabilidad de tipo desbordamiento de entero. Un atacante remoto podría ejecutar código arbitrario mediante un fichero de fuentes TrueType especialmente diseñado. - CVE-2008-5358: La vulnerabilidad reside en un error en la librería "splashscreen.dll". Un atacante remoto podría ejecutar código arbitrario mediante una imagen GIF especialmente diseñada que provoca corrupción de memoria. - CVE-2008-5359: La vulnerabilidad reside en un error en el procesamiento de imágenes. Un atacante remoto podría ejecutar código arbitrario mediante métodos desconocidos. - CVE-2008-5360: La vulnerabilidad reside en un error en la creación de ficheros temporales con nombres predecibles. Un atacante remoto podría escribir ficheros JAR maliciosos mediante médotos no especificados. |
|
Solución |
|
Actualización de software Red Hat (RHSA-2008:1018-4) RHEL Desktop Supplementary (v. 5 cliente) RHEL Supplementary (v. 5 servidor) Red Hat Enterprise Linux Extras (v. 4) https://rhn.redhat.com/ Red Hat (RHSA-2008:1025-4) RHEL Desktop Supplementary (v. 5 cliente) RHEL Supplementary (v. 5 servidor) Red Hat Enterprise Linux Extras (v. 4) https://rhn.redhat.com/ Sun (245246) (244990) (244986) (244987) (244989) JDK and JRE 6 Update 11 ó posterior JDK and JRE 5.0 Update 17 ó posterior SDK and JRE 1.4.2_19 ó posterior http://sunsolve.sun.com/pub-cgi/show.pl?target=patchpage Suse Linux Las actualizaciones pueden descargarse mediante YAST o del servidor FTP oficial de Suse Linux. Hewlett-Packard HP-UX B.11.11 / HP-UX B.11.23 / HP-UX B.11.31 / Java v6.0.03 o posterior Java v5.0.15 o posterior Java v1.4.2.21 o posterior http://www.itrc.hp.com/service/patch/mainPage.do Red Hat (RHSA-2009:0369-1) RHEL Desktop Supplementary (v. 5 cliente) RHEL Supplementary (v. 5 servidor) Red Hat Enterprise Linux Extras (v. 4) https://rhn.redhat.com/ Red Hat (RHSA-2009:0445-1) RHEL Desktop Supplementary (v. 5 cliente) RHEL Supplementary (v. 5 servidor) Red Hat Enterprise Linux Extras (v. 3) Red Hat Enterprise Linux Extras (v. 4) https://rhn.redhat.com/ Hewlett-Packard (HPSBMA02486) OV NNM v7.53 HP-UX (IA) / patch PHSS_40375 o posterior HP-UX (PA) / patch PHSS_40374 o posterior Linux RedHatAS2.1 / patch LXOV_00101 o posterior Linux RedHat4AS-x86_64 / patch LXOV_00102 o posterior Solaris / patch PSOV_03525 o posterior Windows / patch NNM_01201 o posterior OV NNM v7.51 Actualizar a OV NNM v7.53 y aplicar parches |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE |
CVE-2008-5351 CVE-2008-5354 CVE-2008-5355 CVE-2008-5356 CVE-2008-5357 CVE-2008-5358 CVE-2008-5359 CVE-2008-5360 |
BID | 32608 |
Recursos adicionales |
|
Sun Alert Notification (245246) http://sunsolve.sun.com/search/document.do?assetkey=1-26-245246-1 Red Hat Security Advisory (RHSA-2008:1018-4) http://rhn.redhat.com/errata/RHSA-2008-1018.html Red Hat Security Advisory (RHSA-2008:1025-4) http://rhn.redhat.com/errata/RHSA-2008-1025.html Sun Alert Notification (244990) http://sunsolve.sun.com/search/document.do?assetkey=1-26-244990-1 Sun Alert Notification (244989) http://sunsolve.sun.com/search/document.do?assetkey=1-26-244989-1 Sun Alert Notification (244987) http://sunsolve.sun.com/search/document.do?assetkey=1-26-244987-1 Sun Alert Notification (244986) http://sunsolve.sun.com/search/document.do?assetkey=1-26-244986-1 SUSE Security Advisory (SUSE-SA:2009:001) http://www.novell.com/linux/security/advisories/2009_01_java.html SUSE Security Advisory (SUSE-SA:2009:007) http://www.novell.com/linux/security/advisories/2009_07_ibmjava.html HP SECURITY BULLETIN (HPSBUX02411) http://www13.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c01683026-1 SUSE Security Advisory (SUSE-SR:2009:006) http://www.novell.com/linux/security/advisories/2009_6_sr.html Red Hat Security Advisory (RHSA-2009:0369-1) https://rhn.redhat.com/errata/RHSA-2009-0369.html SUSE Security Advisory (SUSE-SA:2009:018) http://www.novell.com/linux/security/advisories/2009_18_ibmjava.html Red Hat Security Advisory (RHSA-2009:0445-1) https://rhn.redhat.com/errata/RHSA-2009-0445.html SUSE Security Advisory (SUSE-SR:2009:010) http://www.novell.com/linux/security/advisories/2009_10_sr.html HP SECURITY BULLETIN (HPSBMA02486) https://www11.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c02000725 |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2009-01-14 |
1.1 | Aviso emitido por Suse (SUSE-SA:2009:007) | 2009-02-04 |
1.2 | Aviso emitido por HP (HPSBUX02411), aviso emitido por Suse (SUSE-SR:2009:006) | 2009-03-12 |
1.3 | Aviso emitido por Red Hat (RHSA-2009:0369-1) | 2009-03-26 |
1.4 | Aviso emitido por Suse (SUSE-SA:2009:018) | 2009-04-13 |
1.5 | Aviso emitido por Red Hat (RHSA-2009:0445-1) | 2009-04-24 |
1.6 | Aviso emitido por Suse (SUSE-SR:2009:010) | 2009-05-13 |
1.7 | Aviso emitido por HP (HPSBMA02486) | 2010-02-16 |