viernes, 22 de febrero de 2013

Oracle soluciona las últimas vulnerabilidades de su boletín de febrero

A pesar de que Oracle solucionó una larga lista de vulnerabilidades (50) al adelantar la publicación de su boletín el pasado día cuatro de febrero, ya advertía que algunas no habían podido solucionarse y serían publicadas en la fecha establecida a priori. Precisamente estas son las que aloja este boletín, inusualmente corto, con solo cinco problemas solucionados.

Sin embargo, esto no significa que las vulnerabilidades sean baladíes. Las cinco son explotables remotamente sin necesidad de autenticación. Tres de ellas (CVE-2013-1487, CVE-2013-1486 y CVE-2013-1484) permiten la ejecución de código arbitrario, con una puntuación CVSS base de 10. Las dos restantes son de impacto más discreto; una de ellas afecta a la integridad (CVE-2013-1485), y la otra a la confidencialidad (CVE-2013-0169), ambas de manera parcial.

Solo la última es aplicable a la versión servidor de Java. Esta es la conocida como "Lucky thirteen". Se trata de una debilidad en la implementación del protocolo TLS/SSL que permite que, capturada la información cifrada que se quiere conocer, obtener el texto plano descifrado estudiando los tiempos de respuesta del servidor a los mensajes generados por el atacante. Podría servir, por ejemplo, para obtener el texto plano de una cookie de autenticación cifrada.

El resto, se aplican a la versión cliente de Java, afectando a los componentes "Deployment", "JMX" y "Libraries". Estas vulnerabilidades se pueden explotar en los navegadores a través de Java Web Start.

Con este boletín, Oracle da por terminado el soporte público para la versión 6 de JRE. A partir de ahora, tanto las actualizaciones de esta rama como las de la 5 estarán solo disponibles para los usuarios poseedores de una licencia. Sin embargo, Oracle no permitirá que haya versiones de Java 6 sin soporte instaladas en los equipos. A partir de ahora, al actualizar la versión 6 de Java a través de su sistema automático, se instalará la última versión de la rama 7 y se desinstalará cualquier versión de la rama 6 que se encuentre.

Más información:

Updated Release of the February 2013 Oracle Java SE Critical Patch Update

Updates to February Critical Patch Update for Java SE

una-al-dia (06/02/2013) Múltiples vulnerabilidades en la implementación TLS/SSL en OpenSSL


Francisco López

No hay comentarios:

Publicar un comentario en la entrada