FERRAMENTAS LINUX: Atualização de segurança do Ubuntu para corrigir as vulnerabilidades do OpenJDK, aviso Ubuntu 4337-1

quarta-feira, 22 de abril de 2020

Atualização de segurança do Ubuntu para corrigir as vulnerabilidades do OpenJDK, aviso Ubuntu 4337-1




Confira !!



Vários problemas de segurança foram corrigidos no OpenJDK.
==================================================== ========================
Aviso de Segurança do Ubuntu USN-4337-1
22 de abril de 2020

Vulnerabilidades openjdk-8, openjdk-lts
==================================================== ========================

Um problema de segurança afeta estes lançamentos do Ubuntu e seus derivados:

- Ubuntu 19.10
- Ubuntu 18.04 LTS
- Ubuntu 16.04 LTS

Resumo:

Vários problemas de segurança foram corrigidos no OpenJDK.

Descrição do software:
- openjdk-8: implementação Java de código aberto
- openjdk-lts: implementação Java de código aberto

Detalhes:

Foi descoberto que o OpenJDK manipulava incorretamente determinadas
expressões. Um invasor pode usar esse problema para causar uma negação de
serviço ao processar uma expressão regular especialmente criada.
(CVE-2020-2754, CVE-2020-2755)

Foi descoberto que o OpenJDK manipulava incorretamente descritores de classe e
capturando exceções durante a desserialização do fluxo de objetos. Um invasor poderia
possivelmente, use esse problema para causar uma negação de serviço ao processar um
entrada serializada especialmente criada. (CVE-2020-2756, CVE-2020-2757)

Bengt Jonsson, Juraj Somorovsky, Kostis Sagonas, Paul Fiterau Brostean e
Robert Merget descobriu que o OpenJDK manipulava incorretamente mensagens de certificado
durante o handshake TLS. Um invasor pode usar esse problema para ignorar
verificação de certificado e insira, edite ou obtenha informações confidenciais. este
o problema afetou apenas o OpenJDK 11. (CVE-2020-2767)

Foi descoberto que o OpenJDK manipulava incorretamente exceções lançadas por
unmarshalKeyInfo () e unmarshalXMLSignature (). Um invasor poderia usar
esse problema pode causar uma negação de serviço ao ler informações importantes ou assinatura XML
dados da entrada XML. (CVE-2020-2773)

Peter Dettman descobriu que o OpenJDK manipulava incorretamente SSLParameters em
setAlgorithmConstraints (). Um invasor pode usar esse problema para
substituir a política de segurança dos sistemas definidos e levar ao uso de
algoritmos de criptografia que devem ser desativados. Esse problema afetou apenas
OpenJDK 11. (CVE-2020-2778)

Simone Bordet descobriu que o OpenJDK reutilizou incorretamente o TLS nulo único
sessões para novas conexões TLS. Um invasor remoto poderia usar isso
problema para causar uma negação de serviço. (CVE-2020-2781)

Dan Amodio descobriu que o OpenJDK não restringia o uso de CR e LF
caracteres em valores para cabeçalhos HTTP. Um invasor poderia usar isso
problema para inserir, editar ou obter informações confidenciais. (CVE-2020-2800)

Nils Emmerich descobriu que o OpenJDK verificava incorretamente os limites ou
tipos de argumento. Um invasor pode usar esse problema para ignorar o sandbox
restrições que causam impacto não especificado. (CVE-2020-2803, CVE-2020-2805)

Foi descoberto que o OpenJDK manipulava incorretamente pacotes de dados de aplicativos
durante o handshake TLS. Um invasor pode usar esse problema para inserir,
editar ou obter informações confidenciais. Esse problema afetou apenas o OpenJDK 11.
(CVE-2020-2816)

Foi descoberto que o OpenJDK manipulava incorretamente determinadas
expressões. Um invasor pode usar esse problema para causar uma negação de
serviço. (CVE-2020-2830)

Instruções de atualização:

O problema pode ser corrigido atualizando o sistema para o seguinte
versões do pacote:

Ubuntu 19.10:
  OpenJDK-11-JDK 11.0.7 + 10-2ubuntu2 ~ 19.10
  OpenJDK-11-jre 11.0.7 + 10-2ubuntu2 ~ 19.10
  OpenJDK-11-jre-headless 11.0.7 + 10-2ubuntu2 ~ 19.10
  OpenJDK-11-jre-zero 11.0.7 + 10-2ubuntu2 ~ 19.10
  openjdk-8-jdk 8u252-b09-1 ~ 19.10
  openjdk-8-jre 8u252-b09-1 ~ 19.10
  openjdk-8-jre-headless 8u252-b09-1 ~ 19.10
  openjdk-8-jre-zero 8u252-b09-1 ~ 19.10

Ubuntu 18.04 LTS:
  OpenJDK-11-JDK 11.0.7 + 10-2ubuntu2 ~ 18.04
  OpenJDK-11-jre 11.0.7 + 10-2ubuntu2 ~ 18.04
  OpenJDK-11-jre-headless 11.0.7 + 10-2ubuntu2 ~ 18.04
  OpenJDK-11-jre-zero 11.0.7 + 10-2ubuntu2 ~ 18.04
  openjdk-8-jdk 8u252-b09-1 ~ 18.04
  openjdk-8-jre 8u252-b09-1 ~ 18.04
  openjdk-8-jre-headless 8u252-b09-1 ~ 18.04
  openjdk-8-jre-zero 8u252-b09-1 ~ 18.04

Ubuntu 16.04 LTS:
  openjdk-8-jdk 8u252-b09-1 ~ 16.04
  openjdk-8-jre 8u252-b09-1 ~ 16.04
  openjdk-8-jre-headless 8u252-b09-1 ~ 16.04
  openjdk-8-jre-jamvm 8u252-b09-1 ~ 16.04
  openjdk-8-jre-zero 8u252-b09-1 ~ 16.04

Esta atualização usa uma nova versão upstream, que inclui erros adicionais
Conserta. Após uma atualização padrão do sistema, você precisa reiniciar qualquer Java
aplicativos ou applets para fazer todas as alterações necessárias.

Referências:
  https://usn.ubuntu.com/4337-1
  CVE-2020-2754, CVE-2020-2755, CVE-2020-2756, CVE-2020-2757,
  CVE-2020-2767, CVE-2020-2773, CVE-2020-2778, CVE-2020-2781,
  CVE-2020-2800, CVE-2020-2803, CVE-2020-2805, CVE-2020-2816,
  CVE-2020-2830

Informações do pacote:
  https://launchpad.net/ubuntu/+source/openjdk-8/8u252-b09-1~19.10
  https://launchpad.net/ubuntu/+source/openjdk-lts/11.0.7+10-2ubuntu2~19.10
  https://launchpad.net/ubuntu/+source/openjdk-8/8u252-b09-1~18.04
  https://launchpad.net/ubuntu/+source/openjdk-lts/11.0.7+10-2ubuntu2~18.04
  https://launchpad.net/ubuntu/+source/openjdk-8/8u252-b09-1~16.04


Fonte

Até a próxima !!

Nenhum comentário:

Postar um comentário