ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

KLA11122
Múltiples vulnerabilidades en Oracle Java SE, Java SE Embedded y JRockit
Actualizado: 07/05/2018
Fecha de detección
?
10/17/2017
Nivel de gravedad
?
Alta
Descripción

Se han encontrado múltiples vulnerabilidades graves en Oracle Java SE. Los usuarios malintencionados pueden explotar estas vulnerabilidades para provocar la denegación de servicio y eludir las restricciones de seguridad.

A continuación hay una lista completa de vulnerabilidades:

  1. Una vulnerabilidad no especificada en el subcomponente Smart Card IO puede ser explotada de forma remota por un atacante no autenticado a través de múltiples protocolos para obtener información confidencial y eludir las restricciones de seguridad;
  2. Una vulnerabilidad no especificada en la serialización del subcomponente puede ser explotada remotamente por un atacante no autenticado a través de múltiples protocolos para causar la denegación de servicio;
  3. Una vulnerabilidad no especificada en el subcomponente RMI (Invocación de método remoto) puede ser explotada de forma remota por un atacante no autenticado a través de múltiples protocolos para eludir las restricciones de seguridad;
  4. Una vulnerabilidad no especificada en el subcomponente Javadoc puede ser explotada de forma remota por un atacante no autenticado a través de múltiples protocolos para ejecutar código arbitrario;
  5. Una vulnerabilidad no especificada en el Networking de subcomponentes puede ser explotada de forma remota por un atacante no autenticado a través de HTTP para provocar eludir las restricciones de seguridad;
  6. Una vulnerabilidad no especificada en el subcomponente La implementación puede ser explotada remotamente por un atacante no autenticado a través de múltiples protocolos para eludir las restricciones de seguridad;
  7. Las vulnerabilidades no especificadas en el Servidor de subcomponentes pueden ser explotadas de forma remota por un atacante no autenticado a través de múltiples protocolos para causar la denegación de servicio o eludir las restricciones de seguridad;
  8. Una vulnerabilidad no especificada en el Servidor de subcomponentes puede ser explotada de forma remota por un atacante no autenticado a través de múltiples protocolos para causar la denegación de servicio;
  9. Una vulnerabilidad no especificada en la serialización del subcomponente puede ser explotada remotamente por un atacante no autenticado a través de múltiples protocolos para causar la denegación de servicio;
  10. Una vulnerabilidad no especificada en el Hotspot de un subcomponente puede ser explotada remotamente por un atacante no autenticado a través de múltiples protocolos para eludir las restricciones de seguridad;
  11. Una vulnerabilidad no especificada en la serialización del subcomponente puede ser explotada remotamente por un atacante no autenticado a través de múltiples protocolos para causar la denegación de servicio;
  12. Una vulnerabilidad no especificada en las bibliotecas de subcomponentes puede ser explotada de forma remota por un atacante no autenticado a través de múltiples protocolos para causar la denegación de servicio;
  13. Una vulnerabilidad no especificada en el subcomponente JAXP (Java API for XML Processing) puede ser explotada remotamente por un atacante no autenticado a través de múltiples protocolos para causar la denegación de servicio;
  14. Una vulnerabilidad no especificada en el subcomponente JAX-WS (la API de Java para servicios web XML) puede ser explotada de forma remota por un atacante no autenticado a través de múltiples protocolos para causar la denegación de servicio;
  15. Una vulnerabilidad no especificada en la red de subcomponentes puede ser explotada de forma remota por un atacante no autenticado a través de múltiples protocolos para causar la denegación de servicio;
  16. Una vulnerabilidad no especificada en la seguridad de los subcomponentes puede ser explotada de forma remota por un atacante no autenticado a través de múltiples protocolos para eludir las restricciones de seguridad;
  17. Una vulnerabilidad no especificada en la serialización del subcomponente puede ser explotada remotamente por un atacante no autenticado a través de múltiples protocolos para causar la denegación de servicio;
  18. Las vulnerabilidades no especificadas en el Servidor de subcomponentes pueden ser explotadas de forma remota por un atacante no autenticado a través de protocolos HTTP para eludir las restricciones de seguridad;
  19. Una vulnerabilidad no especificada en el subcomponente Las bibliotecas pueden ser explotadas de forma remota por un atacante no autenticado a través de múltiples protocolos para eludir las restricciones de seguridad;

Detalles técnicos

Las vulnerabilidades (1), (4) y (6) están relacionadas con Java SE.

Las vulnerabilidades (2), (5), (9), (15) y (16) están relacionadas con Java SE, Java SE Embedded y JRockit

Las vulnerabilidades (3), (10), (12), (13), (14), (17) y (19) están relacionadas con Java SE y Java SE Embedded.

Las vulnerabilidades (7), (8) y (18) están relacionadas con Java Management Console.

La vulnerabilidad (11) está relacionada con Java SE y JRockit.

Productos afectados

Versiones Java SE 6 anteriores a 6u161
Versiones de Java SE 7 anteriores a 7u151
Java SE 8 versiones anteriores a 8u151
Versiones Java SE Embedded anteriores a 8u151
Java SE versión 9
JRockit R28.3.15

Solución

Actualiza a la última versión
Descargas de software

Notas informativas originales

Oracle Critical Patch Update Advisory – October 2017

Impactos
?
ACE 
[?]

SB 
[?]

DoS 
[?]
Productos relacionados
Oracle JRockit
Oracle Java JRE 1.8.x
Oracle Java JRE 1.7.x
Oracle Java JDK 1.8.x
Oracle Java JDK 1.7.x
CVE-IDS
?

CVE-2017-10388
CVE-2017-10386
CVE-2017-10380
CVE-2017-10357
CVE-2017-10356
CVE-2017-10355
CVE-2017-10350
CVE-2017-10349
CVE-2017-10348
CVE-2017-10347
CVE-2017-10346
CVE-2017-10345
CVE-2017-10342
CVE-2017-10341
CVE-2017-10309
CVE-2017-10295
CVE-2017-10293
CVE-2017-10285
CVE-2017-10281
CVE-2017-10274

Notas informativas oficiales de Microsoft
Guía para las actualizaciones de seguridad de Microsoft
Listado KB

KB is Microsoft Knowledge Base article (In security case it corresponds Microsoft Security Advisory). KB is an atomic part of Microsoft security updates, which is detected by Microsoft Updater and can be installed or reverted. KB can contain not only programmatically updates and not only updates released by Microsoft.


Enlace al original