Oracle finaliza su soporte publico a usuarios de Java 6 no licenciados

Publicado el 26 febrero 2013 ¬ 11:19 amh.mscComentarios desactivados en Oracle finaliza su soporte publico a usuarios de Java 6 no licenciados

A pesar de que Oracle solucionó una larga lista de vulnerabilidades
(50) al adelantar la publicación de su boletín el pasado día cuatro de
febrero, ya advertía que algunas no habían podido solucionarse y serían
publicadas en la fecha establecida a priori. Precisamente estas son las
que aloja este boletín, inusualmente corto, con solo cinco problemas
solucionados.

Sin embargo, esto no significa que las vulnerabilidades sean baladíes.
Las cinco son explotables remotamente sin necesidad de autenticación.
Tres de ellas (CVE-2013-1487, CVE-2013-1486 y CVE-2013-1484) permiten la
ejecución de código arbitrario, con una puntuación CVSS base de 10. Las
dos restantes son de impacto más discreto; una de ellas afecta a la
integridad (CVE-2013-1485), y la otra a la confidencialidad
(CVE-2013-0169), ambas de manera parcial.

Solo la última es aplicable a la versión servidor de Java. Esta es la
conocida como “Lucky thirteen”. Se trata de una debilidad en la
implementación del protocolo TLS/SSL que permite que, capturada la
información cifrada que se quiere conocer, obtener el texto plano
descifrado estudiando los tiempos de respuesta del servidor a los
mensajes generados por el atacante. Podría servir, por ejemplo, para
obtener el texto plano de una cookie de autenticación cifrada.

El resto, se aplican a la versión cliente de Java, afectando a los
componentes “Deployment”, “JMX” y “Libraries”. Estas vulnerabilidades se
pueden explotar en los navegadores a través de Java Web Start.

Con este boletín, Oracle da por terminado el soporte público para la
versión 6 de JRE. A partir de ahora, tanto las actualizaciones de esta
rama como las de la 5 estarán solo disponibles para los usuarios
poseedores de una licencia. Sin embargo, Oracle no permitirá que haya
versiones de Java 6 sin soporte instaladas en los equipos. A partir de
ahora, al actualizar la versión 6 de Java a través de su sistema
automático, se instalará la última versión de la rama 7 y se
desinstalará cualquier versión de la rama 6 que se encuentre.
 Fuente

 

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Noticias, Vulnerabilidades, ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies