TLP: White
NIVEL DE RIESGO- CVSS v3.1: 8.3[Alto]
Acción Requerida: Aplicar las actualizaciones de seguridad que corrigen las vulnerabilidades a los paquetes afectados.
Vector de ataque:Aprovechamiento remoto del objetivo.
Impacto: El aprovechamiento exitoso de las vulnerabilidades mencionadas en esta alerta puede ocasionar evasión de restricciones de seguridad y la denegación parcial de algún servicio.

Descripción

Red Hat ha publicado actualizaciones de seguridad para las versiones 7 y 8 del SDK de Java de IBM para las RHEL 6 y 7, debido a que existen vulnerabilidades en dichos paquetes de Java, algunos de los cuales son de criticidad alta.

Las vulnerabilidades presentes en los paquetes “java-1.7.1-ibm” y “java-1.8.0-ibm” se listan a continuación:

  • CVE-2020-2803:vulnerabilidad provocada por un error de límites en “buffer classes” del archivo “java.nio” en las bibliotecas de “OpenJDK”, que permite evadir las restricciones del sandbox de Java.
  • CVE-2020-2805: vulnerabilidad resultante de un fallo en la validación de tipos de los argumentos en el método “readObject()” de la clase “MethodType” en las bibliotecas de “OpenJDK”, que permite a un atacante evitar las restricciones del sandbox de Java
  • CVE-2020-2781: vulnerabilidad provocada por una reutilización de una sola sesión TLS para nuevas conexiones, lo que permite que un atacante pueda llegar a realizar una denegación parcial de servicio.
  • CVE-2020-2830: vulnerabilidad ocasionada cuando se emplean expresiones regulares para escanear un archivo, facilitando con ello que un atacante pueda provocar una denegación parcial de servicio al consumir una elevada cantidad de recursos
  • CVE-2020-2800: vulnerabilidad de tipo “CRLF injection” que permite a un atacante no autenticado crear o eliminar el acceso a los datos a través de un servicio web, e inyectar datos en una petición al servidor. Concretamente en las cabeceras de HTTP en “HttpServer”, a consecuencia de la falta de filtrado de datos de entrada por parte de dicho servidor.
  • CVE-2020-2654: vulnerabilidad presente en las bibliotecas de Java SE, que sólo puede aprovecharse proporcionando datos a las API sin el uso de aplicaciones Java Web Start y/o applets Java no confiables, por ejemplo: a través de un servicio Web. Un atacante no autenticado, con acceso a la red, puede comprometer Java SE, o provocar una denegación de servicio (DoS) parcial.
  • CVE-2020-2756: vulnerabilidad provocada por una validación errónea de descriptores de clase no inicializados durante el proceso de deserialización. Esto permite la lectura de datos de un archivo y la construcción de objetos en memoria, facilitando que un atacante pueda ocasionar una denegación parcial de servicio.
  • CVE-2020-2757: vulnerabilidad que se produce por no capturar una excepción en la instancia de la clase “ObjectStream”, lo que genera un error que permite a un atacante poder realizar una denegación parcial del servicio.

Además, el paquete “java-1.8.0-ibm” tiene las siguientes vulnerabilidades de criticidad media y baja:

  • CVE-2019-2949: vulnerabilidad del componente Kerberos de Java SE presente en las implementaciones que cargan y/o ejecutan código no confiable, y que utilizan el sandbox de Java para la seguridad. Un atacante, con acceso a la red, puede
  • CVE-2020-2754, CVE-2020-2755: vulnerabilidades de difícil aprovechamiento o ejecución, a través de aplicaciones sandboxed Java Web Start y applets sandboxed Java o proporcionando datos a las APIs (ej.: servicio web), por las cuales un atacante no autenticado con acceso a la red a través de múltiples protocolos podría provocar una denegación parcial de servicio.

Nivel de riesgo

  • CVSS v3.1: 8.3 [Alto]
  • CVSS v3.1: 6.8 [Medio]
  • CVSS v3.1: 5.3 [Medio]
  • CVSS v3.1: 4.8 [Medio]
  • CVSS v3.1: 3.7 [Bajo]

Sistemas/tecnologías afectadas

  • JAVA-1.7.1-IBM para RHEL 6 en sus versiones anteriores a java-1.7.1-ibm-1.7.1.4.65-1jpp.1.el6_10.x86_64
  • JAVA-1.8.0-IBM para RHEL 6 en sus versiones anteriores a java-1.8.0-ibm-1.8.0.6.10-1jpp.1.el6_10.x86_64
  • JAVA-1.7.1-BM para RHEL 7 en sus versiones anteriores a java-1.7.1-ibm-1.7.1.4.65-1jpp.1.el7.x86_64
  • JAVA-1.8.0-IBM para RHEL 7 en sus versiones anteriores a java-1.8.0-ibm-1.8.0.6.10-1jpp.1.el7.x86_64

Medidas de erradicación

A continuación, se listan las actualizaciones de seguridad liberadas por Red Hat para corregir las vulnerabilidades reportadas en esta alerta:

  • RHEL 6 – Actualizar “java-1.7.1-ibm” a la versión: java-1.7.1-ibm-1.7.1.4.65-1jpp.1.el6_10
  • RHEL 6 – Actualizar “java-1.8.0-ibm” a la versión: java-1.8.0-ibm-1.8.0.6.10-1jpp.1.el6_10
  • RHEL 7 – Actualizar “java-1.7.1-ibm” a la versión: java-1.7.1-ibm-1.7.1.4.65-1jpp.1.el7
  • RHEL 7 – Actualizar “java-1.8.0-ibm” a la versión: java-1.8.0-ibm-1.8.0.6.10-1jpp.1.el7

Referencias