Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
23/02/2011
Oracle ha anunciat un pegat d'emergència que soluciona una vulnerabilitat a Java, que pot causar que el sistema es penge i que puga ser explotat per atacants de manera remota sense autenticació.
Segons l'alerta notificada per Oracle, l'error fa que l'entorn d'execució Java es penge en convertir “2.2250738585072012e-308" a un número binari de coma flotant. Les aplicacions i servidors web basats a Java estan especialment exposats a aquesta vulnerabilitat, asseguren des d'Oracle.
Normalment Oracle llança els pedaços de seguretat dels seus productes trimestralment, encara que en aquest cas la fallada resulta tan greu que la companyia s'ha botat la norma.
L'última actualització de seguretat, la del mes de gener, incloïa més de 60 pedaços, la qual cosa, segons l'opinió majoritària, no són molts si es té en compte la quantitat d'adquisicions que ha realitzat Oracle en els últims anys.
Diversos són els productes afectats per la fallada, com ara:
Java SE:
JDK i JRE 6 Update 23 i anteriors, per a Windows, Solaris i Linux
JDK 5.0 Update 27 i anteriors, per a Solaris 9
SDK 1.4.2_29 i anteriors, per a Solaris 8
Java for Business
JDK i JRE 6 Update 23 i anteriors, per a Windows, Solaris i Linux
JDK i JRE 5.0 Update 27 i anteriors, per a Windows, Solaris i Linux
SDK i JRE 1.4.2_29 i anteriors, per a Windows, Solaris i Linux
CVE-2010-4476
Solució:En la pàgina d'Oracle es pot accedir a un llistat complet, juntament amb els enllaços, per a aconseguir els pedaços:
http://www.oracle.com/technetwork/topics/security/alert-cve-2010-4476-305811.html