Corregidas varias vulnerabilidades de OpenJDK
Recientemente, se han descubierto varias vulnerabilidades en el tiempo de ejecución de Java OpenJDK, que pueden dar lugar a ataques de canal lateral, filtración de datos confidenciales a archivos de registro, denegación de servicio o elusión de restricciones de sandbox. Las versiones afectadas incluyen 21.0.1, 17.0.9, 11.0.21, 8u392 y anteriores.
En este artículo, exploraremos los detalles de estas vulnerabilidades y comprenderemos su impacto en las implantaciones de Java.
Vulnerabilidades de alta gravedad de OpenJDK
CVE-2024-20918 (Puntuación de gravedad CVSS 3: 7,4 Alta)
Este defecto permite a un atacante no autenticado con acceso a la red a través de múltiples protocolos comprometer Oracle Java SE, Oracle GraalVM para JDK y Oracle GraalVM Enterprise Edition. Una explotación exitosa podría conducir a un acceso no autorizado a datos críticos y a la capacidad de modificar o eliminar datos. Esta vulnerabilidad se puede explotar a través de las API de los componentes especificados, como los servicios web, y afecta a las implantaciones de Java, especialmente en entornos aislados que ejecutan código no fiable desde Internet.
CVE-2024-20926 (Puntuación de gravedad CVSS 3: 5,9 Media)
Esta vulnerabilidad de OpenJDK también concede a los atacantes basados en red acceso a Oracle Java SE, Oracle GraalVM para JDK y Oracle GraalVM Enterprise Edition, permitiendo potencialmente el acceso no autorizado a datos. Explota las API, como los servicios web, y afecta a las implantaciones de Java, especialmente en entornos con sandbox que ejecutan código de Internet no fiable, que confían en el sandbox de Java para la seguridad.
CVE-2024-20932 (Puntuación de gravedad CVSS 3: 7,5 Alta)
Esta vulnerabilidad, fácilmente explotable a través de múltiples protocolos, permite a atacantes no autenticados comprometer Oracle Java SE, Oracle GraalVM para JDK y Oracle GraalVM Enterprise Edition. Su explotación puede conducir al acceso no autorizado a datos críticos y a modificaciones no autorizadas. Afecta a las implantaciones de Java, especialmente en entornos aislados como aplicaciones Java Web Start o applets Java que ejecutan código no fiable. No afecta a las implantaciones de Java limitadas a la ejecución de código de confianza, como las de los servidores.
CVE-2024-20952 (Puntuación de gravedad CVSS 3: 7,4 Alta)
Esta vulnerabilidad, difícil de explotar, permite a un atacante no autenticado con acceso a la red a través de múltiples protocolos comprometer Oracle Java SE, Oracle GraalVM para JDK y Oracle GraalVM Enterprise Edition. Puede provocar el acceso no autorizado, la creación, eliminación o modificación de datos críticos. En particular, afecta a las implantaciones de Java en clientes que ejecutan aplicaciones Java Web Start en entorno aislado o applets que cargan código que no es de confianza. No afecta a las implantaciones de Java en servidores que ejecutan únicamente código de confianza.
Vulnerabilidades de gravedad media en OpenJDK
CVE-2024-20919 (Puntuación de gravedad CVSS 3: 5,9 Media)
Esta vulnerabilidad permite a atacantes no autenticados con acceso a la red comprometer potencialmente Oracle Java SE, Oracle GraalVM para JDK y Oracle GraalVM Enterprise Edition. Su explotación podría conducir a un acceso no autorizado a los datos o al control total de los sistemas afectados. Este riesgo se extiende a los despliegues de Java, particularmente en entornos sandboxed que ejecutan código no fiable.
CVE-2024-20921 (CVSS 3 Severity Score: 5.9 Medium)
Permite a atacantes no autenticados comprometer Oracle Java SE, Oracle GraalVM para JDK y Oracle GraalVM Enterprise Edition, permitiendo potencialmente el acceso no autorizado a datos críticos. Puede ser explotado a través de APIs y afecta a despliegues Java, particularmente en entornos sandboxed que ejecutan código no fiable procedente de Internet.
CVE-2024-20945 (Puntuación de gravedad CVSS 3: 4,7 Media)
Esta vulnerabilidad, difícil de explotar, permite a un atacante con pocos privilegios y acceso a la infraestructura poner en peligro Oracle Java SE, Oracle GraalVM para JDK y Oracle GraalVM Enterprise Edition. Una explotación exitosa puede conducir a un acceso no autorizado a datos críticos o a un acceso completo a los datos. Se puede explotar a través de APIs dentro del componente, como por ejemplo a través de un servicio web que suministra datos. Esta vulnerabilidad también afecta a las implementaciones de Java, especialmente en entornos aislados como aplicaciones Java Web Start o applets Java que ejecutan código no fiable.
Conclusión
El grupo de seguridad de OpenJDK ha solucionado estas vulnerabilidades en las nuevas versiones. Se recomienda actualizar las instalaciones existentes lo antes posible. El equipo de seguridad de Debian también ha publicado parches para estas vulnerabilidades de OpenJDK, abordándolas en los paquetes openjdk-11 y openjdk-17. Se recomienda actualizar los paquetes openjdk-11 y openjdk-17 en Debian para mitigar los riesgos asociados.
Para automatizar la aplicación de parches de seguridad en sus sistemas Linux, puede utilizar la solución de aplicación de parches en vivo KernelCare Enterprise de TuxCare. Despliega todas las actualizaciones críticas en un núcleo en ejecución sin tener que reiniciar el sistema. Obtenga más información sobre live patching y cómo ayuda a mitigar las vulnerabilidades del núcleo de Linux.
Fuentes: OpenJDK Vulnerability Advisory, National Vulnerability Database.