Alertas de seguridad

Vulnerabilidad en componentes de Java SE

El caso CVE-2019-2699 relaciona la vulnerabilidad difícil de explotar para la versión Java SE (Standard Edition): 8u202. La vulnerabilidad permite que un atacante no autenticado con acceso a la red, a través de múltiples protocolos envíe paquetes de red diseñados para enviar entradas maliciosas con el fin de comprometer completamente la plataforma Java SE.

Si bien la vulnerabilidad se encuentra en Java SE, los ataques pueden afectar significativamente a productos adicionales.Los ataques exitosos de esta vulnerabilidad pueden comprometer por completo Java SE.

Oracle

Esta vulnerabilidad aplica para las implementaciones basadas en Java, particularmente en clientes que ejecutan aplicaciones de Java Web Start de espacio aislado o applets de Java de espacio aislado (en Java SE 8), que cargan y ejecutan código no confiable (por ejemplo, código que proviene de Internet) y dependen de Java SandBox para la seguridad.

Esta vulnerabilidad también puede explotarse mediante el uso de API en el componente especificado. Por ejemplo, a través de un servicio web que suministra datos a las API.

Acciones recomendadas para contrarrestar la vulnerabilidad de Java SE

Oracle ha confirmado la vulnerabilidad y ha lanzado actualizaciones de software. Se recomienda aplicar el último Service Pack para productos SVF que soporten Java 11 y usen el OpenJDK 11.0.3.