ClickCease Corregidas varias vulnerabilidades de OpenJDK

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Corregidas varias vulnerabilidades de OpenJDK

Rohan Timalsina

27 de febrero de 2024 - Equipo de expertos TuxCare

Recientemente, se han descubierto varias vulnerabilidades en el tiempo de ejecución de Java OpenJDK, que pueden dar lugar a ataques de canal lateral, filtración de datos confidenciales a archivos de registro, denegación de servicio o elusión de restricciones de sandbox. Las versiones afectadas incluyen 21.0.1, 17.0.9, 11.0.21, 8u392 y anteriores.

En este artículo, exploraremos los detalles de estas vulnerabilidades y comprenderemos su impacto en las implantaciones de Java.

 

Vulnerabilidades de alta gravedad de OpenJDK

 

CVE-2024-20918 (Puntuación de gravedad CVSS 3: 7,4 Alta)

Este defecto permite a un atacante no autenticado con acceso a la red a través de múltiples protocolos comprometer Oracle Java SE, Oracle GraalVM para JDK y Oracle GraalVM Enterprise Edition. Una explotación exitosa podría conducir a un acceso no autorizado a datos críticos y a la capacidad de modificar o eliminar datos. Esta vulnerabilidad se puede explotar a través de las API de los componentes especificados, como los servicios web, y afecta a las implantaciones de Java, especialmente en entornos aislados que ejecutan código no fiable desde Internet.

 

CVE-2024-20926 (Puntuación de gravedad CVSS 3: 5,9 Media)

Esta vulnerabilidad de OpenJDK también concede a los atacantes basados en red acceso a Oracle Java SE, Oracle GraalVM para JDK y Oracle GraalVM Enterprise Edition, permitiendo potencialmente el acceso no autorizado a datos. Explota las API, como los servicios web, y afecta a las implantaciones de Java, especialmente en entornos con sandbox que ejecutan código de Internet no fiable, que confían en el sandbox de Java para la seguridad.

 

CVE-2024-20932 (Puntuación de gravedad CVSS 3: 7,5 Alta)

Esta vulnerabilidad, fácilmente explotable a través de múltiples protocolos, permite a atacantes no autenticados comprometer Oracle Java SE, Oracle GraalVM para JDK y Oracle GraalVM Enterprise Edition. Su explotación puede conducir al acceso no autorizado a datos críticos y a modificaciones no autorizadas. Afecta a las implantaciones de Java, especialmente en entornos aislados como aplicaciones Java Web Start o applets Java que ejecutan código no fiable. No afecta a las implantaciones de Java limitadas a la ejecución de código de confianza, como las de los servidores.

 

CVE-2024-20952 (Puntuación de gravedad CVSS 3: 7,4 Alta)

Esta vulnerabilidad, difícil de explotar, permite a un atacante no autenticado con acceso a la red a través de múltiples protocolos comprometer Oracle Java SE, Oracle GraalVM para JDK y Oracle GraalVM Enterprise Edition. Puede provocar el acceso no autorizado, la creación, eliminación o modificación de datos críticos. En particular, afecta a las implantaciones de Java en clientes que ejecutan aplicaciones Java Web Start en entorno aislado o applets que cargan código que no es de confianza. No afecta a las implantaciones de Java en servidores que ejecutan únicamente código de confianza.

 

Vulnerabilidades de gravedad media en OpenJDK

 

CVE-2024-20919 (Puntuación de gravedad CVSS 3: 5,9 Media)

Esta vulnerabilidad permite a atacantes no autenticados con acceso a la red comprometer potencialmente Oracle Java SE, Oracle GraalVM para JDK y Oracle GraalVM Enterprise Edition. Su explotación podría conducir a un acceso no autorizado a los datos o al control total de los sistemas afectados. Este riesgo se extiende a los despliegues de Java, particularmente en entornos sandboxed que ejecutan código no fiable.

 

CVE-2024-20921 (CVSS 3 Severity Score: 5.9 Medium)

Permite a atacantes no autenticados comprometer Oracle Java SE, Oracle GraalVM para JDK y Oracle GraalVM Enterprise Edition, permitiendo potencialmente el acceso no autorizado a datos críticos. Puede ser explotado a través de APIs y afecta a despliegues Java, particularmente en entornos sandboxed que ejecutan código no fiable procedente de Internet.

 

CVE-2024-20945 (Puntuación de gravedad CVSS 3: 4,7 Media)

Esta vulnerabilidad, difícil de explotar, permite a un atacante con pocos privilegios y acceso a la infraestructura poner en peligro Oracle Java SE, Oracle GraalVM para JDK y Oracle GraalVM Enterprise Edition. Una explotación exitosa puede conducir a un acceso no autorizado a datos críticos o a un acceso completo a los datos. Se puede explotar a través de APIs dentro del componente, como por ejemplo a través de un servicio web que suministra datos. Esta vulnerabilidad también afecta a las implementaciones de Java, especialmente en entornos aislados como aplicaciones Java Web Start o applets Java que ejecutan código no fiable.

 

Conclusión

 

El grupo de seguridad de OpenJDK ha solucionado estas vulnerabilidades en las nuevas versiones. Se recomienda actualizar las instalaciones existentes lo antes posible. SecureChain de TuxCare para Java proporciona un acceso a un único repositorio de confianza de paquetes y bibliotecas Java libres de vulnerabilidades para mantener sus aplicaciones seguras.

El equipo de seguridad de Debian también ha publicado parches para estas vulnerabilidades de OpenJDK, que las abordan en los paquetes openjdk-11 y openjdk-17. Se aconseja actualizar los paquetes openjdk-11 y openjdk-17 en Debian para mitigar los riesgos asociados. Para automatizar la aplicación de parches de seguridad en sus servidores Linux, puede aprovechar la solución de aplicación de parches en vivo KernelCare Enterprise de TuxCare. Despliega todos los parches de vulnerabilidad sin tener que reiniciar el servidor. Obtenga más información sobre live patching y cómo ayuda a gestionar las vulnerabilidades.

 

Fuentes: OpenJDK Vulnerability Advisory, National Vulnerability Database.

Resumen
Corregidas varias vulnerabilidades de OpenJDK
Nombre del artículo
Corregidas varias vulnerabilidades de OpenJDK
Descripción
Descubra las últimas vulnerabilidades de OpenJDK que podrían dar lugar a accesos no autorizados y aprenda a proteger sus implantaciones de Java.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín