viernes, 22 de diciembre de 2006

Múltiples vulnerabilidades en JRE (Java Runtime Environment) de Sun

Sun han publicado actualizaciones para JDK, JRE y SDK debido a que se
han encontrado numerosos problemas de seguridad no especificados que
afectan a diferentes versiones. Estas herramientas también se engloban
dentro del producto Java 2 Platform, Standard Edition

JDK (Java Development Kit) y SDK (Software Development Kit) son
productos destinados a los desarrolladores de programas Java. JRE (Java
Runtime Environment) es un entorno que permite a las aplicaciones Java
ejecutarse en el sistema e interpretar gran cantidad de contenido web.

Se han encontrado dos vulnerabilidades relacionadas con la serialización
de Java Runtime Environment que podrían, de forma independiente,
permitir a un applet no confiable o aplicación elevar sus privilegios.

Estas vulnerabilidades están solucionadas en las versiones (para
Windows, Solaris y Linux):
JDK y JRE 5.0 Update 8 o posterior.
SDK y JRE 1.4.2_13 o posterior.

Se han encontrado dos vulnerabilidades más en Java Runtime Environment
que podrían, de forma independiente, permitir a un applet acceder a los
datos de otro.

El primer problema está solucionado en (para Windows, Solaris, y Linux):
JDK y JRE 5.0 Update 6 o posterior.
SDK y JRE 1.4.2_11 o posterior.
SDK y JRE 1.3.1_19 o posterior.

El segundo problema está solucionado en (para Windows, Solaris, y Linux):
JDK y JRE 5.0 Update 7 o posterior.
SDK y JRE 1.4.2_13 o posterior.
SDK y JRE 1.3.1_19 o posterior.

Por último, se ha encontrado dos vulnerabilidades de desbordamiento de
memoria intermedia en Java Runtime Environment que podrían permitir de
forma independiente a applets elevar sus privilegios. Esto le permitiría
darse permisos de escritura en ficheros locales o ejecutar aplicaciones
accesibles por el usuario que ejecutar el applet no confiable.

Estos problemas han sido solucionados en las versiones (para Windows,
Solaris, y Linux):
JDK y JRE 5.0 Update 8 o posterior.
SDK y JRE 1.4.2_13 o posterior.
SDK y JRE 1.3.1_19 o posterior.

Para conocer la versión instalada en el sistema, se debe escribir en una
consola (tanto en Windows como Linux o Solaris):

java -version

Según la rama operativa en el sistema, se puede actualizar desde
http://java.sun.com


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Vulnerabilities in the Java Runtime Environment may Allow
Untrusted Applets to Elevate Privileges and Execute Arbitrary Code
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102729-1

Security Vulnerabilities Related to Serialization in the Java Runtime
Environment may Allow Untrusted Applets to Elevate Privileges
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102731-1

Security Vulnerabilities in the Java Runtime Environment may Allow an
Untrusted Applet to Access Data in Other Applets
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102732-1