FERRAMENTAS LINUX: Atualização de segurança do Ubuntu para corrigir as vulnerabilidades do OpenJDK, aviso Ubuntu 4257-1

terça-feira, 28 de janeiro de 2020

Atualização de segurança do Ubuntu para corrigir as vulnerabilidades do OpenJDK, aviso Ubuntu 4257-1



Confira !!



Vários problemas de segurança foram corrigidos no OpenJDK.
==================================================== ========================
Aviso de Segurança do Ubuntu USN-4257-1
28 de janeiro de 2020

Vulnerabilidades openjdk-8, openjdk-lts
==================================================== ========================

Um problema de segurança afeta estes lançamentos do Ubuntu e seus derivados:

- Ubuntu 19.10
- Ubuntu 18.04 LTS
- Ubuntu 16.04 LTS

Resumo:

Vários problemas de segurança foram corrigidos no OpenJDK.

Descrição do software:
- openjdk-8: Implementação Java de código aberto
- openjdk-lts: implementação Java de código aberto

Detalhes:

Foi descoberto que o OpenJDK manipulou incorretamente exceções durante
desserialização no BeanContextSupport. Um invasor poderia usar isso
causar uma negação de serviço ou outro impacto não especificado.
(CVE-2020-2583)

Foi descoberto que o OpenJDK validou incorretamente as propriedades do SASL
mensagens incluídas no Kerberos GSSAPI. Um invasor remoto não autenticado
com acesso à rede via Kerberos poderia usar esse problema para inserir,
modificar ou obter informações confidenciais. (CVE-2020-2590)

Foi descoberto que o OpenJDK validou incorretamente URLs. Um atacante
poderia usar esse problema para inserir, editar ou obter informações confidenciais
em formação. (CVE-2020-2593)

Foi descoberto que o componente OpenJDK Security ainda usava o algoritmo MD5.
Um invasor remoto pode usar esse problema para obter informações confidenciais.
em formação. (CVE-2020-2601)

Foi descoberto que o OpenJDK manipulou incorretamente o aplicativo de
filtros de serialização. Um invasor pode usar esse problema para ignorar o
filtro pretendido durante a serialização. (CVE-2020-2604)

Bo Zhang e Long Kuan descobriram que o OpenJDK manipulava incorretamente o X.509
certificados. Um invasor pode usar esse problema para causar uma negação
de serviço. (CVE-2020-2654)

Bengt Jonsson, Juraj Somorovsky, Kostis Sagonas, Paul Fiterau Brostean e
Robert Merget descobriu que o OpenJDK manipulava incorretamente o CertificateVerify
Mensagens de handshake TLS. Um invasor remoto pode usar esse problema para
inserir, editar ou obter informações confidenciais. Esse problema afetou apenas
OpenJDK 11. (CVE-2020-2655)

Foi descoberto que o OpenJDK impôs incorretamente o limite do datagrama
soquetes que podem ser criados por um código em execução em uma sandbox Java. A
O invasor pode usar esse problema para ignorar as restrições da sandbox
causando uma negação de serviço. Esse problema afetou apenas o OpenJDK 8.
(CVE-2020-2659)

Instruções de atualização:

O problema pode ser corrigido atualizando o sistema para o seguinte
versões do pacote:

Ubuntu 19.10:
  OpenJDK-11-JDK 11.0.6 + 10-1ubuntu1 ~ 19.10.1
  OpenJDK-11-JRE 11.0.6 + 10-1ubuntu1 ~ 19.10.1
  OpenJDK-11-jre-headless 11.0.6 + 10-1ubuntu1 ~ 19.10.1
  OpenJDK-11-jre-zero 11.0.6 + 10-1ubuntu1 ~ 19.10.1
  openjdk-8-jdk 8u242-b08-0ubuntu3 ~ 19.10
  openjdk-8-jre 8u242-b08-0ubuntu3 ~ 19.10
  openjdk-8-jre-headless 8u242-b08-0ubuntu3 ~ 19.10
  openjdk-8-jre-zero 8u242-b08-0ubuntu3 ~ 19.10

Ubuntu 18.04 LTS:
  OpenJDK-11-JDK 11.0.6 + 10-1ubuntu1 ~ 18.04.1
  OpenJDK-11-jre 11.0.6 + 10-1ubuntu1 ~ 18.04.1
  OpenJDK-11-jre-headless 11.0.6 + 10-1ubuntu1 ~ 18.04.1
  openjdk-11-jre-zero 11.0.6 + 10-1ubuntu1 ~ 18.04.1
  OpenJDK-8-JDK 8u242-b08-0ubuntu3 ~ 18.04
  openjdk-8-jre 8u242-b08-0ubuntu3 ~ 18.04
  openjdk-8-jre-headless 8u242-b08-0ubuntu3 ~ 18.04
  openjdk-8-jre-zero 8u242-b08-0ubuntu3 ~ 18.04

Ubuntu 16.04 LTS:
  OpenJDK-8-JDK 8u242-b08-0ubuntu3 ~ 16.04
  openjdk-8-jre 8u242-b08-0ubuntu3 ~ 16.04
  openjdk-8-jre-headless 8u242-b08-0ubuntu3 ~ 16.04
  OpenJDK-8-JRE-Jamvm 8u242-b08-0ubuntu3 ~ 16.04
  openjdk-8-jre-zero 8u242-b08-0ubuntu3 ~ 16.04

Esta atualização usa uma nova versão upstream, que inclui erros adicionais
Conserta. Após uma atualização padrão do sistema, você precisa reiniciar qualquer Java
aplicativos ou applets para fazer todas as alterações necessárias.

Referências:
  https://usn.ubuntu.com/4257-1
  CVE-2020-2583, CVE-2020-2590, CVE-2020-2593, CVE-2020-2601,
  CVE-2020-2604, CVE-2020-2654, CVE-2020-2655, CVE-2020-2659

Informações do pacote:
  https://launchpad.net/ubuntu/+source/openjdk-8/8u242-b08-0ubuntu3~19.10
  https://launchpad.net/ubuntu/+source/openjdk-lts/11.0.6+10-1ubuntu1~19.10.1
  https://launchpad.net/ubuntu/+source/openjdk-8/8u242-b08-0ubuntu3~18.04
  https://launchpad.net/ubuntu/+source/openjdk-lts/11.0.6+10-1ubuntu1~18.04.1
  https://launchpad.net/ubuntu/+source/openjdk-8/8u242-b08-0ubuntu3~16.04


Fonte

Até a próxima !!










Nenhum comentário:

Postar um comentário