"La vida es un asco, pero eso no significa que no haya que disfrutarla"
Dustin Lee Hoffman (1937), actor estadounidense
(El 8 de agosto de 1937, nació Dustin Hoffman)
Madrid, 8 de agosto de 2007 - Redhat ha publicado una serie de paquetes para java-1.5.0-sun y para java-1.4.2-ibm que corrigen distintos errores. Están disponibles para Red Hat Enterprise Linux 4 Extras.
Los errores solucionados para la plataforma Sun son los siguientes:
- La herramienta Javadoc era capaz de generar páginas de documentación HTML que pueden contener vulnerabilidades de tipo "cross-site scripting". Un usuario podría emplear este problema para inyectar código script o HTML arbitrario.
- El componente "Web Start URL" contiene una vulnerabilidad que produce un desbordamiento de buffer en ficheros JNLP. Si un atacante lo empleara, podría ejecutar código arbitrario.
- El componente JSSE no procesa adecuadamente peticiones SSL/TLS. Un atacante podría producir una denegación de servicios aprovechándose de este fallo.
- Se encontró un error en el applet de carga de ficheros "class". Un applet no fiable podría esquivar las restricciones de red, como por ejemplo, conectarse a servicios alojados en la máquina que ejecuta el applet.
Para IBM, los errores solucionados son los siguientes:
- Error en el componente "Java Web Start". Por su culpa, una aplicación puede elevar sus privilegios y leer o escribir ficheros locales que son accesibles por el usuario ejecutando la aplicación "Java Web Start".
- Desbordamiento de buffer en la imagen del código JRE. Una aplicación o un applet pueden aprovecharse del fallo y elevar sus privilegios, que podrían desembocar en una ejecución de código arbitrario.
- Una vulnerabilidad sin especificar, en el entorno Java Runtime. Una aplicación o un applet podría hacer que la máquina dejara de responder.
Más información sobre estas actualizaciones, aquí y en esta página.