Oracle soluciona las últimas vulnerabilidades de su boletín de febrero

Sin embargo, esto no significa que las vulnerabilidades sean baladíes. Las cinco son explotables remotamente sin necesidad de autenticación. Tres de ellas (CVE-2013-1487, CVE-2013-1486 y CVE-2013-1484) permiten la ejecución de código arbitrario, con una puntuación CVSS base de 10. Las dos restantes son de impacto más discreto; una de ellas afecta a la integridad (CVE-2013-1485), y la otra a la confidencialidad (CVE-2013-0169), ambas de manera parcial.

Solo la última es aplicable a la versión servidor de Java. Esta es la conocida como “Lucky thirteen“. Se trata de una debilidad en la implementación del protocolo TLS/SSL que permite que, capturada la información cifrada que se quiere conocer, obtener el texto plano descifrado estudiando los tiempos de respuesta del servidor a los mensajes generados por el atacante. Podría servir, por ejemplo, para obtener el texto plano de una cookie de autenticación cifrada.

El resto, se aplican a la versión cliente de Java, afectando a los componentes “Deployment“, “JMX” y “Libraries“. Estas vulnerabilidades se pueden explotar en los navegadores a través de Java Web Start.

Con este boletín, Oracle da por terminado el soporte público para la versión 6 de JRE. A partir de ahora, tanto las actualizaciones de esta rama como las de la 5 estarán solo disponibles para los usuarios poseedores de una licencia. Sin embargo, Oracle no permitirá que haya versiones de Java 6 sin soporte instaladas en los equipos. A partir de ahora, al actualizar la versión 6 de Java a través de su sistema automático, se instalará la última versión de la rama 7 y se desinstalará cualquier versión de la rama 6 que se encuentre.

una-al-dia (06/02/2013) Múltiples vulnerabilidades en la implementación TLS/SSL en OpenSSL

Francisco López