[SECURITY-L] CAIS-Alerta: Multiplas Vulnerabilidades no Sun Java (TA08-066A)

CSIRT - UNICAMP security em unicamp.br
Sex Mar 7 15:27:57 -03 2008 

----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----

From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject:  CAIS-Alerta: Multiplas Vulnerabilidades no Sun Java (TA08-066A)
To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Fri, 7 Mar 2008 11:43:13 -0300 (BRT)

-----BEGIN PGP SIGNED MESSAGE-----


Prezados,

O CAIS esta' repassando o alerta do US-CERT, intitulado "TA08-066A - Sun 
Updates for Multiple Vulnerabilities in Java", que trata de 12 
vulnerabilidades que afetam diversas versoes do Sun Java Runtime 
Environment.

Caso um atacante consiga explorar com sucesso algumas destas 
vulnerabilidades, ele podera ler ou alterar dados armazenados em um 
sistema vulneravel, contornando mecanismos de seguranca e comprometendo 
estes sistemas.

Uma vez que uma das principais caracteristicas de aplicacoes Java e' a
portabilidade, a capacidade de executar aplicacoes em diversos sistemas
operacionais (Windows, distribuicoes Linux) e classes de dispositivos
(PCs, celulares) torna estas vulnerabilidades ainda mais criticas e devem
ser corrigidas por meio de atualizacao o mais breve possivel.


Sistemas afetados:

. JDK e JRE 6 Update 4 e anteriores
. JDK e JRE 5.0 Update 14 e anteriores
. SDK e JRE 1.4.2_16 e anteriores
. SDK e JRE 1.3.1_21 e anteriores


Correcoes disponiveis:

Recomenda-se fazer a atualizacao para as versoes disponiveis em:

. JDK and JRE 6 Update 5
  http://java.sun.com/javase/downloads/index.jsp

. JDK and JRE 5.0 Update 15
  http://java.sun.com/javase/downloads/index_jdk5.jsp

. SDK and JRE 1.4.2_17
  http://java.sun.com/j2se/1.4.2/download.html


Mais informacoes:

. TA08-066A - Sun Updates for Multiple Vulnerabilities in Java
  http://www.us-cert.gov/cas/techalerts/TA08-066A.html

. SA29239 - Sun Java JDK / JRE Multiple Vulnerabilities
  http://secunia.com/advisories/29239/

. JavaTM SE 6 Update Release Notes
  http://java.sun.com/javase/6/webnotes/ReleaseNotes.html

. #233321: Two Security Vulnerabilities in the Java Runtime Environment Virtual Machine
  http://sunsolve.sun.com/search/document.do?assetkey=1-66-233321-1

. #233322: Security Vulnerability in the Java Runtime Environment With the Processing of XSLT Transformations
  http://sunsolve.sun.com/search/document.do?assetkey=1-66-233322-1

. #233323: Multiple Security Vulnerabilities in Java Web Start May Allow an Untrusted Application to Elevate Privileges
  http://sunsolve.sun.com/search/document.do?assetkey=1-66-233323-1

. #233324: A Security Vulnerability in the Java Plug-in May Allow an Untrusted Applet to Elevate Privileges
  http://sunsolve.sun.com/search/document.do?assetkey=1-66-233324-1

. #233325: Vulnerabilties in the Java Runtime Environment image Parsing Library
  http://sunsolve.sun.com/search/document.do?assetkey=1-66-233325-1

. #233326: Security Vulnerability in the Java Runtime Environment May Allow Untrusted JavaScript Code to Elevate Privileges Through Java APIs
  http://sunsolve.sun.com/search/document.do?assetkey=1-66-233326-1

. #233327: Buffer Overflow Vulnerability in Java Web Start May Allow an Untrusted Application to Elevate its Privileges
  http://sunsolve.sun.com/search/document.do?assetkey=1-66-233327-1


Identificador CVE (http://cve.mitre.org): CVE-2008-1185, CVE-2008-1186,
                                          CVE-2008-1187, CVE-2008-1188,
                                          CVE-2008-1189, CVE-2008-1190,
                                          CVE-2008-1191, CVE-2008-1192,
                                          CVE-2008-1193, CVE-2008-1194,
                                          CVE-2008-1195, CVE-2008-1196



O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as ultimas versoes e correcoes
oferecidas pelos fabricantes.

Os Alertas do CAIS tambem sao oferecidos no formato RSS/RDF:

http://www.rnp.br/cais/alertas/rss.xml

Atenciosamente,

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais em cais.rnp.br       http://www.cais.rnp.br                #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   http://www.rnp.br/cais/cais-pgp.key   #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.6 (GNU/Linux)
Comment: Made with pgp4pine 1.76

iQCVAwUBR9FUiekli63F4U8VAQHFwAQAuwaug5nLwx/Bu2dSfgRh16WjKrarIe2t
VqqAUNosj1jP8CvKCBS4qXFkFgr2iUC2KsqYrD471NfOy7lGvywQyPTRjKY06VMu
eEGAMggH5LLQJGCkZXDl6J8SGvNGDqt4WoedU0OAwHOpO1wEHrPjCnXFEkFVaGih
lzim+5lw9Kk=
=uqzP
-----END PGP SIGNATURE-----

----- End forwarded message -----

Mais detalhes sobre a lista de discussão SECURITY-L