Confira !!
Vários problemas de segurança foram corrigidos no OpenJDK.
==================================================== ========================
Aviso de Segurança do Ubuntu USN-4257-1
28 de janeiro de 2020
Vulnerabilidades openjdk-8, openjdk-lts
==================================================== ========================
Um problema de segurança afeta estes lançamentos do Ubuntu e seus derivados:
- Ubuntu 19.10
- Ubuntu 18.04 LTS
- Ubuntu 16.04 LTS
Resumo:
Vários problemas de segurança foram corrigidos no OpenJDK.
Descrição do software:
- openjdk-8: Implementação Java de código aberto
- openjdk-lts: implementação Java de código aberto
Detalhes:
Foi descoberto que o OpenJDK manipulou incorretamente exceções durante
desserialização no BeanContextSupport. Um invasor poderia usar isso
causar uma negação de serviço ou outro impacto não especificado.
(CVE-2020-2583)
Foi descoberto que o OpenJDK validou incorretamente as propriedades do SASL
mensagens incluídas no Kerberos GSSAPI. Um invasor remoto não autenticado
com acesso à rede via Kerberos poderia usar esse problema para inserir,
modificar ou obter informações confidenciais. (CVE-2020-2590)
Foi descoberto que o OpenJDK validou incorretamente URLs. Um atacante
poderia usar esse problema para inserir, editar ou obter informações confidenciais
em formação. (CVE-2020-2593)
Foi descoberto que o componente OpenJDK Security ainda usava o algoritmo MD5.
Um invasor remoto pode usar esse problema para obter informações confidenciais.
em formação. (CVE-2020-2601)
Foi descoberto que o OpenJDK manipulou incorretamente o aplicativo de
filtros de serialização. Um invasor pode usar esse problema para ignorar o
filtro pretendido durante a serialização. (CVE-2020-2604)
Bo Zhang e Long Kuan descobriram que o OpenJDK manipulava incorretamente o X.509
certificados. Um invasor pode usar esse problema para causar uma negação
de serviço. (CVE-2020-2654)
Bengt Jonsson, Juraj Somorovsky, Kostis Sagonas, Paul Fiterau Brostean e
Robert Merget descobriu que o OpenJDK manipulava incorretamente o CertificateVerify
Mensagens de handshake TLS. Um invasor remoto pode usar esse problema para
inserir, editar ou obter informações confidenciais. Esse problema afetou apenas
OpenJDK 11. (CVE-2020-2655)
Foi descoberto que o OpenJDK impôs incorretamente o limite do datagrama
soquetes que podem ser criados por um código em execução em uma sandbox Java. A
O invasor pode usar esse problema para ignorar as restrições da sandbox
causando uma negação de serviço. Esse problema afetou apenas o OpenJDK 8.
(CVE-2020-2659)
Instruções de atualização:
O problema pode ser corrigido atualizando o sistema para o seguinte
versões do pacote:
Ubuntu 19.10:
OpenJDK-11-JDK 11.0.6 + 10-1ubuntu1 ~ 19.10.1
OpenJDK-11-JRE 11.0.6 + 10-1ubuntu1 ~ 19.10.1
OpenJDK-11-jre-headless 11.0.6 + 10-1ubuntu1 ~ 19.10.1
OpenJDK-11-jre-zero 11.0.6 + 10-1ubuntu1 ~ 19.10.1
openjdk-8-jdk 8u242-b08-0ubuntu3 ~ 19.10
openjdk-8-jre 8u242-b08-0ubuntu3 ~ 19.10
openjdk-8-jre-headless 8u242-b08-0ubuntu3 ~ 19.10
openjdk-8-jre-zero 8u242-b08-0ubuntu3 ~ 19.10
Ubuntu 18.04 LTS:
OpenJDK-11-JDK 11.0.6 + 10-1ubuntu1 ~ 18.04.1
OpenJDK-11-jre 11.0.6 + 10-1ubuntu1 ~ 18.04.1
OpenJDK-11-jre-headless 11.0.6 + 10-1ubuntu1 ~ 18.04.1
openjdk-11-jre-zero 11.0.6 + 10-1ubuntu1 ~ 18.04.1
OpenJDK-8-JDK 8u242-b08-0ubuntu3 ~ 18.04
openjdk-8-jre 8u242-b08-0ubuntu3 ~ 18.04
openjdk-8-jre-headless 8u242-b08-0ubuntu3 ~ 18.04
openjdk-8-jre-zero 8u242-b08-0ubuntu3 ~ 18.04
Ubuntu 16.04 LTS:
OpenJDK-8-JDK 8u242-b08-0ubuntu3 ~ 16.04
openjdk-8-jre 8u242-b08-0ubuntu3 ~ 16.04
openjdk-8-jre-headless 8u242-b08-0ubuntu3 ~ 16.04
OpenJDK-8-JRE-Jamvm 8u242-b08-0ubuntu3 ~ 16.04
openjdk-8-jre-zero 8u242-b08-0ubuntu3 ~ 16.04
Esta atualização usa uma nova versão upstream, que inclui erros adicionais
Conserta. Após uma atualização padrão do sistema, você precisa reiniciar qualquer Java
aplicativos ou applets para fazer todas as alterações necessárias.
Referências:
https://usn.ubuntu.com/4257-1
CVE-2020-2583, CVE-2020-2590, CVE-2020-2593, CVE-2020-2601,
CVE-2020-2604, CVE-2020-2654, CVE-2020-2655, CVE-2020-2659
Informações do pacote:
https://launchpad.net/ubuntu/+source/openjdk-8/8u242-b08-0ubuntu3~19.10
https://launchpad.net/ubuntu/+source/openjdk-lts/11.0.6+10-1ubuntu1~19.10.1
https://launchpad.net/ubuntu/+source/openjdk-8/8u242-b08-0ubuntu3~18.04
https://launchpad.net/ubuntu/+source/openjdk-lts/11.0.6+10-1ubuntu1~18.04.1
https://launchpad.net/ubuntu/+source/openjdk-8/8u242-b08-0ubuntu3~16.04
Fonte
Até a próxima !!
Nenhum comentário:
Postar um comentário