[SECURITY-L] CAIS-Alerta: Multiplas Vulnerabilidades no Sun Java (TA08-193A)
CSIRT - UNICAMP
security em unicamp.br
Ter Jul 15 15:29:24 -03 2008
----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----
From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject: CAIS-Alerta: Multiplas Vulnerabilidades no Sun Java (TA08-193A)
To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Mon, 14 Jul 2008 14:48:28 -0300 (BRT)
-----BEGIN PGP SIGNED MESSAGE-----
Prezados,
O CAIS esta' repassando o alerta do US-CERT, intitulado "TA08-193A - Sun
Java Updates for Multiple Vulnerabilities", que trata de 13
vulnerabilidades que afetam diversas versoes do Sun Java Runtime
Environment.
Caso um atacante consiga explorar com sucesso algumas destas
vulnerabilidades, ele podera ler ou alterar dados armazenados em um
sistema vulneravel, contornando mecanismos de seguranca e comprometendo
estes sistemas.
Uma vez que uma das principais caracteristicas de aplicacoes Java e' a
portabilidade, a capacidade de executar aplicacoes em diversos sistemas
operacionais (Windows, distribuicoes Linux) e classes de dispositivos
(PCs, celulares) torna estas vulnerabilidades ainda mais criticas e devem
ser corrigidas por meio de atualizacao o mais breve possivel.
Hoje Sun Java e Adobe Flash sao dois plugins de navegador essenciais para
o usuario de Internet, seja para Microsoft Internet Explorer ou Mozilla
Firefox. O CAIS recomenda que as atualizacoes destas duas aplicacoes sejam
aplicadas sempre o mais rapido possivel.
Sistemas afetados:
. JDK e JRE 6 Update 6 e anteriores
. JDK e JRE 5.0 Update 15 e anteriores
. SDK e JRE 1.4.2_17 e anteriores
. SDK e JRE 1.3.1_22 e anteriores
Correcoes disponiveis:
Recomenda-se fazer a atualizacao para as versoes disponiveis em:
. JDK and JRE 6 Update 7
http://java.sun.com/javase/downloads/index.jsp
. JDK and JRE 5.0 Update 16
http://java.sun.com/javase/downloads/index_jdk5.jsp
. SDK and JRE 1.4.2_18
http://java.sun.com/j2se/1.4.2/download.html
. SDK and JRE 1.3.1_23
http://java.sun.com/j2se/1.3/download.html
Se voce nao for um desenvolvedor de aplicacoes Java e' bem provavel que a
versao de Java adequada para voce seja Java Runtime Environment (JRE). O
ambiente JRE e' o estritamente necessario para a execucao de aplicacoes
desenvolvidas em Java, normalmente paginas Web com "applets" Java.
O CAIS recomenda a remocao de todas as versoes anteriores de JRE antes da
instalacao da ultima versao disponivel. Lembramos, entretanto, que existe
o risco de incompatibilidade entre aplicacoes Java desenvolvidas em
versoes mais antigas e versoes mais novas de JRE. Se voce for um usuario
corporativo por favor consulte o departamento responsavel antes de
qualquer atualizacao.
Mais informacoes:
. TA08-193A - Sun Java Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA08-193A.html
. SA31010 - Sun Java JDK / JRE Multiple Vulnerabilities
http://secunia.com/advisories/31010/
. Sun Alert 238628 - Security Vulnerabilities in the Java Runtime Environment related to the processing of XML Data
http://sunsolve.sun.com/search/document.do?assetkey=1-66-238628-1
. Sun Alert 238666 - A Security Vulnerability with the processing of fonts in the Java Runtime Environment may allow Elevation of Privileges
http://sunsolve.sun.com/search/document.do?assetkey=1-66-238666-1
. Sun Alert 238687 - Security Vulnerabilities in the Java Runtime Environment Scripting Language Support
http://sunsolve.sun.com/search/document.do?assetkey=1-66-238687-1
. Sun Alert 238905 - Multiple Security Vulnerabilities in Java Web Start may allow Privileges to be Elevated
http://sunsolve.sun.com/search/document.do?assetkey=1-66-238905-1
. Sun Alert 238965 - Security Vulnerability in Java Management Extensions (JMX)
http://sunsolve.sun.com/search/document.do?assetkey=1-66-238965-1
. Sun Alert 238966 - Security Vulnerability in JDK/JRE Secure Static Versioning
http://sunsolve.sun.com/search/document.do?assetkey=1-66-238966-1
. Sun Alert 238967 - Security Vulnerability in the Java Runtime Environment Virtual Machine may
allow an untrusted Application or Applet to Elevate Privileges
http://sunsolve.sun.com/search/document.do?assetkey=1-66-238967-1
. Sun Alert 238968 - Security Vulnerabilities in the Java Runtime Environment may allow Same Origin Policy to be Bypassed
http://sunsolve.sun.com/search/document.do?assetkey=1-66-238968-1
. Java SE Security
http://java.sun.com/javase/technologies/security/index.jsp
. General Questions - Can I remove older versions of the JRE after installing a newer version?
http://www.java.com/en/download/faq/5000070400.xml
Identificador CVE (http://cve.mitre.org): CVE-2008-3103, CVE-2008-3104,
CVE-2008-3105, CVE-2008-3106,
CVE-2008-3107, CVE-2008-3108,
CVE-2008-3109, CVE-2008-3110,
CVE-2008-3111, CVE-2008-3112,
CVE-2008-3113, CVE-2008-3114,
CVE-2008-3115
O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as ultimas versoes e
correcoes oferecidas pelos fabricantes.
Os Alertas do CAIS tambem sao oferecidos no formato RSS/RDF:
http://www.rnp.br/cais/alertas/rss.xml
Atenciosamente,
################################################################
# CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) #
# Rede Nacional de Ensino e Pesquisa (RNP) #
# #
# cais em cais.rnp.br http://www.cais.rnp.br #
# Tel. 019-37873300 Fax. 019-37873301 #
# Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.6 (GNU/Linux)
Comment: Made with pgp4pine 1.76
iQCVAwUBSHuReekli63F4U8VAQGGCwP9Hb/9QMMmbOpc036P8pvDWroBcw4ExhnF
bbPEVECiQzeVZlKY3qm2oAjH1FPjJ4bKPJZnw3ix9ULj+DIZHqwNydjvsN+qkRS2
jZmecQH2fFxejSryBDQHsRrvHoysyYiQaDkLgh5lEbwoFIsBRGRxgco6me/3Xxzh
rzWPhtQtq5Y=
=MdHa
-----END PGP SIGNATURE-----
--
Para SAIR da lista rnp-alerta envie uma mensagem em branco para:
<rnp-alerta-unsubscribe em cais.rnp.br>
----- End forwarded message -----
Mais detalhes sobre a lista de discussão SECURITY-L