Vulnerabilidades no Ambiente de Execução do Java

AUSCERT AL-2007.0071

[CAIS, 17.07.2007-13:46, revisão 01]

O CAIS está repassando o alerta do AUSCERT, intitulado "AL-2007.0071 - Sun Java Runtime Environment vulnerability allows remote compromise", que trata de duas vulnerabilidades recém-descobertas no Ambiente de Execução do Java (Java Runtime Environment - JRE).

Uma vulnerabilidade no código de análise de imagens do Ambiente de Execução do Java (JRE) existe devido a um erro de buffer overflow, o que pode permitir à um applet não confiável ou à uma aplicação em java elevar seus privilégios de execução. Por exemplo, um applet que explorasse esta vulnerabilidade poderia obter permissões para ler e escrever em arquivos locais do sistema ou executar aplicações locais que fossem acessíveis ao usuário que estivesse executando o applet não confiável.

Uma segunda vulnerabilidade poderia permitir a um applet não confiável ou a uma aplicação em Java que fizesse a Máquina Virtual do Java (Java Virtual Machine) parar de responder, levando-a a uma condição de negação de serviço (DoS).

As vulnerabilidades relacionadas abaixo atingem o JDK (Java Development Kit) e o JRE (Java Runtime Environment) instalados em Windows, Solaris e Linux.

Sistemas afetados:

Primeira vulnerabilidade:
JDK e JRE 6
JDK e JRE 5.0 Update 10 e anteriores
SDK e JRE 1.4.2_14 e anteriores
SDK e JRE 1.3.1_20 e anteriores

Segunda vulnerabilidade:
JDK e JRE 6
JDK e JRE 5.0 Update 10 e anteriores
SDK e JRE 1.4.2_14 e anteriores
SDK e JRE 1.3.1_19 e anteriores

Correções disponíveis:

Recomenda-se fazer a atualização para as versões disponíveis em:

Primeira vulnerabilidade:
JDK e JRE 6 Update 1 ou posterior
JDK e JRE 5.0 Update 11 ou posterior
SDK e JRE 1.4.2_15 e posterior

Segunda vulnerabilidade:
JDK e JRE 6 Update 1 ou posterior
JDK e JRE 5.0 Update 11 ou posterior
SDK e JRE 1.4.2_15 e posterior
SDK e JRE 1.3.1_20 ou posterior

Java SE 6 Update 1

A atualização Java SE 6 Update 1 para Solaris está disponível através das seguintes correções (patches):
Java SE 6: update 1 (disponível no patch 125136-01)
Java SE 6: update 1 (disponível no patch 125137-01 (64bit))
Java SE 6_x86: update 1 (disponível no patch 125138-01)
Java SE 6_x86: update 1 (disponível no patch 125139-01 (64bit))

J2SE 5.0

A atualização J2SE 5.0 Update 11 para Solaris está disponível através das seguintes correções (patches):
J2SE 5.0: update 11 (disponível no patch 118666-11)
J2SE 5.0: update 11 (disponível no patch 118667-11 (64bit))
J2SE 5.0_x86: update 11 (disponível no patch 118668-11)
J2SE 5.0_x86: update 11 (disponível no patch 118669-11 (64bit))

Mais informações:

Identificador CVE (http://cve.mitre.org): CVE-2007-2789, CVE-2007-2788

O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.

Os Alertas do CAIS também são oferecidos no formato RSS/RDF:
http://www.rnp.br/cais/alertas/rss.xml

Listas de alertas publicados:
2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998

Assinatura dos Alertas do CAIS

Assine a lista de alertas do CAIS e receba antecipadamente, por correio eletrônico, as mais recentes notificações sobre segurança em redes e sistemas.

Formulário de assinatura dos Alertas do CAIS

Formulário de assinatura

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais